{"id":316268,"date":"2025-09-29T10:41:52","date_gmt":"2025-09-29T08:41:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=316268"},"modified":"2025-09-30T07:00:23","modified_gmt":"2025-09-30T05:00:23","slug":"akira-hackt-sonicwall-vpn-konten-auch-mit-mfa-absicherung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/29\/akira-hackt-sonicwall-vpn-konten-auch-mit-mfa-absicherung\/","title":{"rendered":"Akira hackt SonicWall VPN-Konten (auch mit MFA-Absicherung)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Falls jemand SonicWall VPN als Zugang zu seinen IT-Netzwerken verwendet, aufgepasst. Es gibt Berichte, dass die Ransomware-Gruppe Akira SonicWall VPN-Konten angreift. Und die Gruppe ist wohl in der Lage, auch Konten zu knacken, die per Multifaktor-Authentifizierung (MFA) gesichert sind, wenn bestimmte Randbedingungen vorliegen.<\/p>\n

<\/p>\n

Angriffe auf SonicWall SSL VPNs<\/h2>\n

\"\"Ende Juli 2025 beobachten<\/a> Sicherheitsforscher von Arctic Wolf einen anhaltende und ansteigende der Ransomware-Gruppe Akira. Diese zielen \u00fcber SSL-VPN-Anmeldeersuche auf SonicWall-Firewalls und entsprechende Konten. Auf b\u00f6swillige Anmeldungen folgten innerhalb weniger Minuten Port-Scans, Impacket-SMB-Aktivit\u00e4ten und die schnelle Auslieferung der Akira-Ransomware auf den betroffenen Systemen.<\/p>\n

Die Opfer kamen aus verschiedenen Branchen und Unternehmen unterschiedlicher Gr\u00f6\u00dfe, was auf eine opportunistische Massenausnutzung hindeutet. Im August 2025 hatte ich im Blog-Beitrag Warnung vor Angriffen auf SonicWall Firewalls (SSL-VPNs)<\/a> allgemein \u00fcber Angriffe auf die Firewalls von SonicWall berichtet. Damals war unklar, ob eine Schwachstelle dahinter steckt.<\/p>\n

K\u00fcrzlich wurde zudem ein Fehler bei SonicWall bekannt, bei dem Backups von Kunden \u00f6ffentlich einsehbar waren. Ich hatte im Beitrag MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt<\/a> berichtet. Dort waren Daten von Kunden abgeflossen und die Backups enthalten auch die Zugangsdaten f\u00fcr Konten.<\/p>\n

Diese Kampagne von Akira, die auf SonicWall VPN-Konten zielt, hat sich k\u00fcrzlich\u00a0 noch versch\u00e4rft, wobei noch am 20. September 2025 neue damit verbundene Infrastrukturen beobachtet wurden. Arctic Wolf hat die Erkenntnisse zum 26. September 2025 im Beitrag Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less<\/a> \u00f6ffentlich gemacht (Bleeping Computer hat es hier<\/a> aufgegriffen).<\/p>\n

Alte Schwachstelle CVE-2024-40766<\/h2>\n

SonicWall bringt die in dieser Kampagne beobachteten b\u00f6swilligen Anmeldungen mit CVE-2024-40766<\/a> in Verbindung<\/a>. Diese Sicherheitsl\u00fccke wurde vor einem Jahr \u00f6ffentlich und erm\u00f6glicht \u00fcber eine unsachgem\u00e4\u00dfen Zugriffskontrolle und kann zu unbefugtem Zugriff auf Ressourcen und unter bestimmten Umst\u00e4nden zum Absturz der Firewall f\u00fchren. Dieses Problem betrifft SonicWall-Ger\u00e4te der Generationen 5 und 6 sowie Ger\u00e4te der Generation 7, auf denen SonicOS 7.0.1-5035 und \u00e4ltere Versionen ausgef\u00fchrt werden. Ein Sicherheitsupdate steht seit dieser Zeit zur Verf\u00fcgung.<\/p>\n

Arctic Wolf vermutet, dass damals Anmeldedaten von Ger\u00e4ten, die f\u00fcr CVE-2024-40766 anf\u00e4llig sind, abgegriffen und sp\u00e4ter von Angreifern verwendet worden sein k\u00f6nnten \u2013 selbst wenn diese Ger\u00e4te gepatcht wurden. Denn den Angreifern der aktuellen Akira Ransomware-Kampagne gelang es, sich bei Konten mit aktivierter MFA-Funktion f\u00fcr Einmalpassw\u00f6rter (OTP) erfolgreich zu authentifizieren.<\/p>\n

Die Sicherheitsexperten von Artic Wolf haben in ihre Erkenntnisse \u00fcber den Ablauf eines Angriffs samt Ausbreitung im Netzwerk im Artikel Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less<\/a> umfassend beschrieben. Dort finden sich auch Angaben \u00fcber die Indicators of Compromise (IoC) sowie Hinweise, was Administratoren einer SonicWall Firewall zur Absicherung noch tun sollen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSonicWall SMA 100 Firmware-Update um Rootkits zu entfernen<\/a>
\nVorzeitige Beendigung des Supports f\u00fcr SonicWall SMA 100<\/a>
\nMySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt<\/a>
\nWarnung vor Angriffen auf SonicWall Firewalls (SSL-VPNs)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Falls jemand SonicWall VPN als Zugang zu seinen IT-Netzwerken verwendet, aufgepasst. Es gibt Berichte, dass die Ransomware-Gruppe Akira SonicWall VPN-Konten angreift. Und die Gruppe ist wohl in der Lage, auch Konten zu knacken, die per Multifaktor-Authentifizierung (MFA) gesichert sind, wenn … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836,5596],"class_list":["post-316268","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software","tag-sonicwall"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316268","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=316268"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316268\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=316268"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=316268"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=316268"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}