Những thiết bị SonicWall SSL VPN đang trở thành miếng mồi ngon cho các cuộc tấn công mã độc tống tiền Akira, đánh dấu sự trỗi dậy đáng lo ngại vào cuối tháng 7 năm 2025.
Julian Tuin, nhà nghiên cứu tại Arctic Wolf Labs, cho biết: “Trong các vụ xâm nhập đã được xem xét, chúng tôi nhận thấy nhiều cuộc xâm nhập trước khi bị tống tiền diễn ra trong một khoảng thời gian ngắn, tất cả đều thông qua truy cập VPN bằng SonicWall SSL VPN.”
Công ty an ninh mạng này cho rằng các cuộc tấn công có thể đang khai thác một lỗ hổng bảo mật chưa được xác định trong các thiết bị, hay còn gọi là lỗ hổng zero-day. Điều đáng lo ngại là một số sự cố xảy ra trên các thiết bị SonicWall đã được vá lỗi đầy đủ. Tuy nhiên, khả năng tin tặc sử dụng thông tin đăng nhập bị đánh cắp để xâm nhập ban đầu vẫn chưa bị loại trừ.
Sự gia tăng các cuộc tấn công nhắm vào SonicWall SSL VPN được ghi nhận lần đầu tiên vào ngày 15 tháng 7 năm 2025. Tuy nhiên, Arctic Wolf cho biết họ đã quan sát thấy các hoạt động đăng nhập VPN độc hại tương tự từ tháng 10 năm 2024, cho thấy một nỗ lực dai dẳng trong việc nhắm mục tiêu vào các thiết bị này.
Arctic Wolf cho biết thêm: “Một khoảng thời gian ngắn đã được quan sát thấy giữa thời điểm truy cập tài khoản SSL VPN ban đầu và thời điểm mã hóa ransomware diễn ra. Các nhóm ransomware thường sử dụng dịch vụ máy chủ ảo (VPS) để xác thực VPN trong các môi trường bị xâm phạm. Điều này trái ngược với các hoạt động đăng nhập VPN hợp pháp thường xuất phát từ các mạng do các nhà cung cấp dịch vụ internet băng thông rộng điều hành.”
SonicWall vẫn chưa đưa ra phản hồi nào về những truy vấn liên quan đến vấn đề này. Trong thời gian chờ đợi bản vá được phát hành, các tổ chức nên tạm thời vô hiệu hóa dịch vụ SonicWall SSL VPN để phòng ngừa rủi ro từ lỗ hổng zero-day.
Các biện pháp phòng ngừa khác bao gồm tăng cường xác thực đa yếu tố (MFA) cho truy cập từ xa, xóa các tài khoản người dùng tường lửa không hoạt động hoặc không sử dụng và tuân thủ các nguyên tắc bảo mật mật khẩu.
Ước tính đến đầu năm 2024, nhóm ransomware Akira đã tống tiền khoảng 42 triệu đô la từ hơn 250 nạn nhân. Chúng bắt đầu nổi lên từ tháng 3 năm 2023.
Theo thống kê từ Check Point, Akira là nhóm hoạt động mạnh thứ hai trong quý 2 năm 2025, sau Qilin, với 143 nạn nhân.
Check Point cho biết: “Akira đặc biệt chú trọng đến việc tấn công các công ty của Ý, với 10% nạn nhân đến từ Ý, so với chỉ 3% trong hệ sinh thái nói chung.”
Giải thích thuật ngữ:
- Ransomware: Một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và đòi tiền chuộc để khôi phục.
- VPN (Virtual Private Network): Mạng riêng ảo, cho phép người dùng kết nối an toàn đến một mạng khác qua internet.
- SSL VPN: Một loại VPN sử dụng giao thức SSL/TLS để mã hóa lưu lượng truy cập.
- Zero-day: Lỗ hổng bảo mật chưa được biết đến hoặc chưa có bản vá.
- MFA (Multi-Factor Authentication): Xác thực đa yếu tố, yêu cầu người dùng cung cấp nhiều hơn một phương thức xác thực để đăng nhập.
