O grupo de ransomware Akira começou a transformar vulnerabilidades em dispositivos SonicWall SSL VPN, transformando processos de fusões e aquisições (M&A) em plataformas de lançamento de alta velocidade para ataques cibernéticos.
Essa tendência expõe pontos cegos perigosos para empresas que adquirem empresas menores, já que os dispositivos herdados da SonicWall geralmente servem como pontos de entrada fáceis para invasores.
Como o Akira Ransomware visa ambientes de fusões e aquisições
Durante fusões e aquisições, as empresas adquirentes muitas vezes herdam a infraestrutura de TI com práticas de segurança desatualizadas.
Os operadores do Akira exploram essas fraquezas, exfiltrando rapidamente dados confidenciais e implantando ransomware.
De acordo com a Relia Quest, em incidentes recentes analisados entre junho e outubro de 2025, os invasores obtiveram acesso inicial a redes empresariais maiores usando dispositivos SonicWall SSL VPN remanescentes de empresas menores adquiridas.
Uma vez lá dentro, os operadores da Akira procuram credenciais privilegiadas, muitas das quais são transportadas durante a transição de fusões e aquisições.
Essas credenciais, geralmente desconhecidas pela empresa adquirente e não monitoradas, fornecem acesso rápido a sistemas vitais.
Em alguns casos, os invasores passaram do comprometimento inicial para um controlador de domínio em apenas cinco horas, bem antes que os defensores pudessem responder.
As pequenas e médias empresas valorizam as VPNs SSL da SonicWall por seu preço acessível e facilidade de uso. No entanto, esses benefícios trazem riscos:
Implantação generalizada: populares entre empresas menores, os dispositivos SonicWall geralmente acabam em ambientes adquiridos durante fusões e aquisições. Configurações padrão: muitos dispositivos operam com senhas inalteradas, contas de administrador herdadas e configurações desatualizadas. Vulnerabilidades não corrigidas: implantações precipitadas e restrições de recursos geralmente fazem com que os patches sejam ignorados. Recursos expostos: Às vezes, as ferramentas de acesso remoto são acessíveis pela Internet, deixando sistemas confidenciais desprotegidos.
Esses fatores tornam os dispositivos SonicWall pontos de entrada confiáveis para grupos de ransomware que buscam explorar pontos fracos de segurança herdados.
Depois que os operadores do Akira comprometem um dispositivo SonicWall, eles procuram rapidamente hosts de alto valor.
As convenções de nomenclatura previsíveis herdadas da empresa adquirida facilitam a localização de alvos pelos invasores, como controladores de domínio e servidores de arquivos.
Em vários casos, os invasores exfiltraram os dados minutos após obterem acesso e, em seguida, migraram lateralmente para implantar o ransomware em uma hora.
Um ponto fraco específico era a proteção inconsistente de endpoints. As redes herdadas frequentemente careciam de soluções modernas de EDR (Endpoint Detection and Response) ou tinham proteção desativada.
Os operadores do Akira exploraram essas lacunas usando o carregamento lateral de DLL para desativar as defesas antes de criptografar os sistemas.
A rápida adoção de dispositivos SonicWall em empresas menores, aliada à dívida de segurança herdada, cria riscos complexos durante fusões e aquisições:
Credenciais obsoletas: contas de administrador antigas de provedores de serviços gerenciados permanecem ativas e não monitoradas após a aquisição. Inventários ausentes: nem todos os ativos são rastreados durante a integração, dando aos invasores locais para se esconderem. Segurança combinada: Diferentes ferramentas e protocolos de segurança podem deixar lacunas, que os invasores exploram para se moverem sem obstruções.
Sem uma descoberta rigorosa de ativos e higiene de credenciais, os defensores ficam vulneráveis, com fraquezas herdadas expondo toda a organização.
Com ransomwares de rápida evolução como o Akira, uma ação antecipada é fundamental para prevenir violações devastadoras e proteger dados confidenciais.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Contate-nos para apresentar suas histórias.
