与 Akira 勒索软件 相关的威胁行为者持续针对 SonicWall 设备进行初始访问攻击。

网络安全公司 Rapid7 表示，他们在过去一个月内观察到针对 SonicWall 设备的入侵活动激增，尤其是在自 2025 年 7 月下旬关于 Akira 勒索软件活动复苏的报告发布后。

随后，SonicWall 揭示，这些针对其防火墙的 SSL VPN 攻击 利用的是一年前的安全漏洞（CVE-2024-40766，CVSS 评分：9.3），该漏洞原因在于本地用户密码在迁移过程中被保留且未重置。

该公司指出：“我们观察到攻击者尝试暴力破解用户凭据的威胁活动增加。为降低风险，客户应启用 Botnet Filtering 来阻止已知威胁行为者，并确保启用 账户锁定策略。”

SonicWall 还敦促用户检查 LDAP SSL VPN 默认用户组，并指出在 Akira 勒索软件攻击背景下，如果配置不当，这可能成为“关键弱点”。

这一设置会将每个成功认证的 LDAP 用户自动添加到预定义的本地组，而不管其在 Active Directory 中的实际成员身份。如果该默认组可以访问敏感服务——如 SSL VPN、管理界面或无限制网络区域——那么任何被入侵的 AD 账户，即使本身无权访问这些服务，也会立即继承这些权限。

这实际上绕过了 AD 基于组的访问控制，一旦攻击者获取有效凭据，就能直接进入网络外围。

Rapid7 在警报中指出，他们还观察到威胁行为者访问由 SonicWall 设备托管的 Virtual Office Portal，在某些默认配置下，该门户可能允许公共访问，并使攻击者能够利用有效账户配置 mMFA/TOTP，前提是存在先前的凭据泄露。

Rapid7 进一步表示：“Akira 组织可能结合利用以上三种安全风险来获取未经授权的访问权限并执行勒索软件操作。”

为降低风险，建议组织采取以下措施：

对所有 SonicWall 本地账户进行密码轮换

删除任何未使用或不活跃的本地账户

确保 MFA/TOTP 策略已配置

将 Virtual Office Portal 访问限制在内部网络

澳大利亚网络安全中心（ACSC）也证实，Akira 正通过 SonicWall 设备攻击澳大利亚的易受攻击组织。

自 2023 年 3 月首次出现以来，Akira 一直是勒索软件威胁领域的持续威胁，据 Ransomware.Live 数据，截至目前已有 967 个受害者。根据 CYFIRMA 统计，2025 年 7 月 Akira 发动了 40 次攻击，是继 Qilin 和 INC Ransom 之后第三活跃的勒索软件组织。

在 2025 年第二季度全球 657 起影响工业实体的勒索软件攻击中，Qilin、Akira 和 Play 勒索软件家族位列前三，分别报告 101、79 和 75 起事件。

工业网络安全公司 Dragos 在上个月发布的报告中指出，Akira 通过高级钓鱼和多平台勒索软件部署，持续针对制造业和运输业开展攻击。

近期，Akira 勒索软件感染还利用 搜索引擎优化（SEO）投毒技术，投放流行 IT 管理工具的木马化安装程序，随后用其下载 Bumblebee 恶意加载器。

这些攻击随后利用 Bumblebee 作为渠道，分发 AdaptixC2 后期利用与对抗模拟框架，安装 RustDesk 以实现持续远程访问，进行数据外泄，并部署勒索软件。

根据 Palo Alto Networks Unit 42 的分析，AdaptixC2 的多功能和模块化特性允许威胁行为者在受感染系统上执行命令、传输文件并进行数据外泄。由于该框架是开源的，攻击者还可以根据自身需求进行定制。

该网络安全公司还表示，其他利用 AdaptixC2 的攻击活动通过模仿 IT 帮助台的 Microsoft Teams 电话，诱导用户通过 Quick Assist 授予远程访问权限，并投放 PowerShell 脚本，将 shellcode 有效载入内存执行。

Rapid7 指出：“Akira 勒索软件组织遵循标准攻击流程：通过 SSL VPN 组件获得初始访问，提升权限至高权限账户或服务账户，定位并窃取网络共享或文件服务器中的敏感文件，删除或停止备份，并在虚拟机管理程序（hypervisor）级别部署勒索软件加密。”