- Sejak pertengahan Juli 2025, ada peningkatan login jahat
- Peneliti berspekulasi penjahat menemukan nol-hari
- Pengguna disarankan untuk memperkuat postur keamanan siber mereka
Ada kemungkinan perangkat Sonicwall SSL VPN membawa kerentanan nol hari yang ditemukan oleh penjahat cyber Akira, dan sekarang digunakan di alam liar.
Pada pertengahan Juli tahun ini, peneliti cybersecurity Arctic Wolf Labs mengamati peningkatan login jahat, semua datang melalui instance Sonicwall SSL VPN. Karena beberapa titik akhir ditambal sepenuhnya pada saat intrusi, para peneliti berspekulasi bahwa mereka mungkin mengandung cacat nol hari.
Namun, mereka belum mengesampingkan kemungkinan bahwa para penyerang baru saja memperoleh satu set kredensial login aktif dari suatu tempat dan menggunakannya untuk mendapatkan akses.
Di radar FBI
Bagaimanapun, organisasi yang menderita login jahat ini juga terinfeksi dengan ransomware Akira segera setelah itu.
“Interval pendek diamati antara akses akun SSL VPN awal dan enkripsi ransomware,” jelas para peneliti. “Berbeda dengan login VPN yang sah yang biasanya berasal dari jaringan yang dioperasikan oleh penyedia layanan internet broadband, grup ransomware sering menggunakan hosting server pribadi virtual untuk otentikasi VPN di lingkungan yang dikompromikan.”
Sampai Sonicwall maju dengan tambalan, atau setidaknya penjelasan, bisnis yang menggunakan VPN ini disarankan untuk menegakkan otentikasi multi-faktor (MFA), menghapus akun firewall yang tidak aktif dan tidak digunakan, dan memastikan kata sandi mereka segar, kuat, dan unik.
Akira adalah strain ransomware yang pertama kali muncul pada Maret 2023, menargetkan bisnis di berbagai sektor. Dikenal untuk mendapatkan pijakan awal melalui kredensial VPN yang dikompromikan dan layanan yang diekspos.
Grup menargetkan sistem Windows dan Linux, dan dikenal untuk membongkar cadangan untuk menghambat pemulihan. Pada pertengahan 2025, Akira bertanggung jawab atas serangan terhadap ratusan organisasi secara global, termasuk Universitas Stanford, Nissan Australia, dan Tietoevry. Kelompok ini biasanya mengarahkan korbannya untuk menghubungi mereka melalui situs web berbasis TOR.
FBI dan CISA telah mengeluarkan peringatan tentang aktivitasnya, mendesak organisasi untuk menerapkan pertahanan jaringan yang lebih kuat dan otentikasi multifaktor.
Melalui Berita peretas
