Thought Leadership
Cybersecurity-Experten schlagen Alarm. Die Akira Ransomware nutzt offenbar erneut Sicherheitslücken in SonicWall SSL-VPNs, um sich Zugang zu Netzwerken zu verschaffen. Selbst gepatchte Systeme und MFA bieten aktuell keinen verlässlichen Schutz.
Angriff über die Schwachstelle: SonicWall im Visier
Ende Juli 2025 beobachtete das Sicherheitsteam von Arctic Wolf eine deutliche Zunahme gezielter Ransomware-Aktivitäten. Die Angriffe begannen mit sogenannten „Pre-Ransomware“-Intrusionen. Dabei handelt es sich um frühe Zugriffe auf Netzwerke, die später für Erpressungsversuche genutzt werden. Als Einstiegspunkt diente in mehreren Fällen die SSL-VPN-Funktion von SonicWall Firewall-Geräten.
Besorgniserregend ist, dass selbst vollständig aktualisierte Systeme mit geänderten Zugangsdaten kompromittiert wurden. Auch aktivierte Multifaktor-Authentifizierung konnte die Angreifer nicht immer aufhalten. Das deutet auf eine bisher unbekannte Sicherheitslücke hin, die nicht durch reguläre Updates geschlossen wird.
Hands-on-Hacking: Kein Zufall, sondern Präzision
Die Gruppe hinter der Akira Ransomware setzt nicht auf automatisierte Schadsoftware, sondern auf gezielte manuelle Eingriffe. Solche Hands-on-Keyboard-Angriffe sind besonders schwer zu erkennen und werden von geübten Cyberkriminellen ausgeführt. Ziel ist es, schnell in das System einzudringen und dort Schaden anzurichten, bevor Gegenmaßnahmen greifen.
Schon im Jahr 2024 wurden ähnliche Vorfälle dokumentiert. Damals nutzten Angreifer eine Sicherheitslücke mit der Bezeichnung CVE-2024-40766 aus, die ebenfalls SonicWall VPNs betraf. Die aktuelle Entwicklung deutet darauf hin, dass sich die Taktiken der Gruppe weiterentwickelt haben.
Schwachstellen an der Netzwerkgrenze als neues Hauptziel
Die jüngsten Erkenntnisse bestätigen eine Prognose von Arctic Wolf aus dem Vorjahr. Damals wurde bereits gewarnt, dass Sicherheitslücken in Geräten am Rand des Netzwerks – etwa Firewalls und VPN-Zugänge – vermehrt ausgenutzt werden könnten. Diese Vorhersage hat sich bewahrheitet.
Ransomware-Gruppen setzen verstärkt auf massenhaft automatisierte Scans nach bekannten Schwachstellen. Gelingt ein erster Zugriff, folgen oft präzise manuelle Angriffe. Dabei sind Unternehmen aller Größenordnungen betroffen, denn die Täter agieren opportunistisch und schlagen dort zu, wo sich eine Schwäche zeigt.
Fazit: Akira Ransomware bleibt eine ernste Bedrohung
Die Akira Ransomware ist zurück und nutzt erneut Sicherheitslücken in VPN-Systemen für ihre Angriffe. Wer SonicWall-Geräte einsetzt, sollte jetzt besonders wachsam sein. Allein das Einspielen von Updates reicht nicht mehr aus – nur durch aktives Monitoring und umfassende Sicherheitsstrategien lässt sich die Gefahr eindämmen.
Weitere Informationen zum Thema finden Sie hier im Arctic Wolf-Blog.
(vp/Arctic Wolf)
