北極狼安全團隊觀察到，自2025年7月下旬以來，阿基拉（Akira）勒索軟件活動顯著增加，攻擊者正積極針對SonicWall SSL VPN賬戶展開攻擊。截至2025年9月20日，仍能發現與該攻擊活動相關的新基礎設施。

繞過多重認證的憑證竊取

阿基拉組織正在利用竊取的憑證實施攻擊，甚至在已啟用多重認證（MFA）的環境中也不例外。報告指出："威脅行為者很可能通過此前利用（CVE-2024-40766）漏洞竊取的憑證訪問SSL VPN賬戶，包括已啟用OTP MFA的賬戶。"

這反映出阿基拉長期專注于VPN攻擊的特點。該組織過去的攻擊活動曾利用思科ASA的（CVE-2023-20269）和思科AnyConnect的（CVE-2020-3259）等漏洞。

驚人的短駐留時間

最令人擔憂的是攻擊者極短的駐留時間。北極狼警告稱："在最近的數十起入侵事件中，攻擊者從憑證訪問到橫向移動、數據竊取和加密的全過程不到四小時，有些甚至快至55分鐘。"這種加速的時間線使得防御者在勒索軟件引爆前幾乎沒有時間進行檢測和響應。

不斷變換的基礎設施

為逃避檢測，該組織持續變換其基礎設施。"威脅行為者正在輪換基于VPS的客戶端基礎設施，試圖規避檢測。"防御者可通過監控來自VPS托管服務提供商（而非傳統寬帶或企業網絡）的登錄行為來發現異常。

跨行業的廣泛攻擊

受害者涵蓋多個行業和組織規模，表明這是機會主義的大規模攻擊而非針對性入侵。

SonicWall已確認攻擊與（CVE-2024-40766）漏洞利用有關，并警告即使已打補丁的設備，若更新前憑證已被竊取，仍可能面臨風險。該公司建議：

• 重置防火墻上存儲的所有憑證，包括SSL VPN密碼和OTP MFA密鑰
• 升級至SonicOS 7.3.0版本，該版本引入了暴力破解防護和MFA強化功能
• 刪除未使用的賬戶，并對所有遠程訪問強制執行MFA
• 啟用僵尸網絡防護和其他安全服務