Dans des développements récents, on observe une augmentation marquée des attaques par ransomware ciblant les dispositifs pare-feu SonicWall, le groupe de ransomware Akira étant à l’avant-garde. Ces attaques ont exploité une potentielle vulnérabilité de type zero-day dans les VPN SSL de SonicWall, soulevant de sérieuses préoccupations en matière de sécurité. Malgré l’utilisation par les organisations de l’authentification multi-facteurs par mot de passe à usage unique basé sur le temps (TOTP), les attaquants ont réussi à contourner ces défenses, compromettant des comptes même sur des appareils entièrement mis à jour. Les attaques sont caractérisées par une escalade rapide, passant de l’accès initial au déploiement du ransomware, souvent peu de temps après les rotations d’identifiants.
La stratégie d’attaque implique l’utilisation d’une infrastructure d’hébergement de serveur privé virtuel, offrant aux attaquants anonymat et flexibilité. Cette méthode a été retracée jusqu’à octobre 2024, avec une augmentation notable de l’activité depuis la mi-juillet 2025. Les attaquants ont démontré une compréhension sophistiquée de la sécurité réseau, ciblant plusieurs secteurs avec précision.
En réponse à cette menace, il est conseillé aux organisations de désactiver la fonctionnalité VPN SSL de SonicWall jusqu’à ce qu’un correctif soit disponible. D’autres recommandations incluent l’amélioration de la journalisation et de la surveillance, le déploiement d’agents de détection des points de terminaison, et l’adhésion aux meilleures pratiques de sécurité. De plus, il est conseillé de bloquer les tentatives d’authentification VPN provenant de numéros de systèmes autonomes (ASN) spécifiques liés à des activités malveillantes. La situation reste dynamique, avec des enquêtes en cours sur l’évolution du paysage des menaces.
