Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Akira all’attacco: Nuova ondata ransomware colpisce SonicWall VPN, rischio zero-day per aziende italiane
Nel mese di luglio 2025 è stata rilevata una nuova ondata di attacchi ransomware Akira che ha preso di mira i dispositivi SonicWall SSL VPN. Questi attacchi si distinguono per la loro capacità di colpire anche dispositivi completamente aggiornati e patchati, facendo ipotizzare la presenza di una vulnerabilità zero-day non ancora identificata nei sistemi SonicWall.
Analisi delle intrusioni
Secondo le recenti analisi condotte da Arctic Wolf Labs, sono state osservate molteplici intrusioni pre-ransomware che sfruttano l’accesso tramite VPN SonicWall SSL VPN. In alcuni casi, gli attaccanti potrebbero sfruttare credenziali compromesse, ma la rapidità e la modalità delle intrusioni fanno pensare a una falla di sicurezza non ancora documentata. L’incremento degli attacchi è stato registrato a partire dal 15 luglio 2025, ma tracce di attività malevola attraverso VPN SonicWall erano già state identificate a ottobre 2024, segnalando un interesse persistente da parte dei cybercriminali verso questi dispositivi.
Modalità di accesso e criticità
Un elemento preoccupante emerso dalle analisi è il breve intervallo tra l’accesso iniziale tramite account VPN e l’attivazione della cifratura ransomware. A differenza dei login legittimi, che solitamente provengono da reti di provider internet tradizionali, i gruppi ransomware preferiscono utilizzare server privati virtuali (VPS) per autenticarsi sulle VPN compromesse, rendendo più difficile il tracciamento delle attività sospette.
Raccomandazioni per le organizzazioni
A fronte di questa situazione, le organizzazioni che utilizzano dispositivi SonicWall sono invitate a valutare la disattivazione del servizio SSL VPN fino a quando non sarà disponibile una patch di sicurezza ufficiale. Tra le misure preventive consigliate figurano anche l’abilitazione dell’autenticazione a più fattori (MFA) per gli accessi remoti, la cancellazione dei vecchi account utente inutilizzati sui firewall e il mantenimento di una rigorosa igiene delle password.
Impatto e statistiche del gruppo Akira
Il gruppo Akira ransomware si è affermato come uno degli attori più attivi nel panorama delle minacce informatiche, con stime di oltre 42 milioni di dollari estorti a più di 250 vittime a partire dal suo esordio a marzo 2023. Nel secondo trimestre del 2025, Akira è stato il secondo gruppo più attivo a livello globale, con 143 vittime dichiarate solo in quel periodo. Particolarmente significativa è la concentrazione di attacchi verso aziende italiane, che rappresentano circa il 10% delle vittime totali del gruppo, rispetto al 3% registrato a livello generale.