Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Akira-Ransomware nutzt mutmaßliche Zero-Day-Lücke in SonicWall-VPNs

Ein plötzlicher Anstieg von Akira-Ransomware-Angriffen erschüttert Unternehmen weltweit. Besonders brisant: Die Angreifer nutzen offenbar eine bislang unbekannte Sicherheitslücke in SonicWall-SSL-VPN-Geräten – selbst vollständig aktualisierte Systeme sind betroffen. Die Zeit zum Handeln ist knapp.

THN/Stefan Mutschler (freier Journalist)AllgemeinBedrohungenRansomwareZero Trust
Lesezeit 2 Min.
Graphic Representation of Proxy Server Concept in Cybersecurity
Foto: ©AdobeStock/Travis

In den letzten Juliwochen 2025 registrierten IT-Sicherheitsexperten eine neue Angriffswelle der Akira-Ransomware-Gruppe. Ziel der Attacken sind SonicWall-SSL-VPN-Appliances – selbst dann, wenn diese auf dem aktuellen Patch-Stand sind. Laut Arctic Wolf Labs deuten mehrere forensisch untersuchte Vorfälle auf eine bislang unbekannte Schwachstelle hin, die derzeit als mögliche Zero-Day-Lücke eingestuft wird.

Diese Einschätzung basiert auf einer auffälligen Angriffsdynamik: Innerhalb kurzer Zeit wurden zahlreiche kompromittierte VPN-Zugänge festgestellt – jeweils als Vorstufe zu anschließender Ransomware-Verschlüsselung. Eine klassische Vorgehensweise bei Akira-Angriffen, bei der schnelle Bewegungen zwischen initialer Kompromittierung und Verschlüsselung typisch sind.

Vollständig gepatcht – trotzdem kompromittiert

Besonders alarmierend ist, dass viele betroffene SonicWall-Geräte laut Arctic Wolf auf dem aktuellen Softwarestand waren. Das bedeutet: Die Angreifer konnten sich offenbar Zugriff verschaffen, ohne bekannte Schwachstellen auszunutzen – ein starkes Indiz für eine Zero-Day-Sicherheitslücke.

Alternativ prüfen die Analysten derzeit auch den möglichen Missbrauch gestohlener Zugangsdaten. Die Häufung der Vorfälle, das Verhalten der Angreifer sowie deren Nutzung von Virtual Private Servern für VPN-Zugänge sprechen jedoch eher für eine systematische Ausnutzung eines neuen Exploits als für vereinzelte Credential-Angriffe.

Angriffsmuster seit Monaten aktiv

Obwohl die aktuelle Angriffswelle am 15. Juli 2025 begann, reichen Hinweise auf kompromittierte SonicWall-SSL-VPN-Zugänge bis mindestens Oktober 2024 zurück. Laut Arctic Wolf wurden seitdem wiederholt anomale VPN-Logins registriert – vorwiegend aus IP-Adressen, die Virtual Private Servern zugeordnet werden können.

Ein zentrales Indiz: Die Zeitspanne zwischen dem ersten VPN-Zugriff und dem Start der Ransomware-Verschlüsselung ist deutlich kürzer als bei regulären Zugriffen. Dies deutet auf ein automatisiertes oder sehr präzise abgestimmtes Angriffsschema hin, das für Akira typisch ist.

Akira auf dem Vormarsch – Fokus auf Europa

Seit ihrer Entdeckung im März 2023 hat sich die Akira-Ransomware zu einer der aktivsten Gruppen weltweit entwickelt. Eine Pressmitteilung der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) berichtet von einer Lösegeld-Beute der Gruppe, die sich bis Anfang 2024 auf etwa 42 Millionen US-Dollar summierte. Laut Schätzungen von Check Point belegte Akira im zweiten Quartal 2025 den zweiten Platz unter den aktivsten Ransomware-Gruppen – hinter Qilin – mit über 140 bekannten Opfern.

Auffällig ist der geografische Schwerpunkt der Angriffe: Etwa zehn Prozent der bekannten Akira-Opfer stammen aus Italien – deutlich mehr als im globalen Durchschnitt (3 Prozent). Das deutet darauf hin, dass die Täter speziell nach lohnenden Zielen suchen und dabei besonders europäische Unternehmen ins Visier nehmen.

Handlungsempfehlungen für Unternehmen

Da SonicWall bislang keine Stellungnahme oder Sicherheitsupdates zu den Vorfällen veröffentlicht hat, raten Experten dringend zu vorbeugenden Maßnahmen. Organisationen, die SonicWall-SSL-VPNs im Einsatz haben, sollten erwägen, den Dienst temporär zu deaktivieren – zumindest bis ein offizieller Sicherheitspatch verfügbar ist.

Darüber hinaus gelten folgende Maßnahmen als dringend erforderlich:

  • Multi-Faktor-Authentifizierung (MFA) verpflichtend für alle Remote-Zugänge einführen
  • Lokale Nutzerkonten, die nicht aktiv verwendet werden, vollständig löschen
  • Starke Passwortregeln durchsetzen und regelmäßig auf Kompromittierungen prüfen
  • Zugriffsprotokolle und VPN-Logs kontinuierlich überwachen auf ungewöhnliche Aktivitäten

Zero-Day-Angriffe bleiben mit die größte Bedrohung

Die aktuellen Akira-Angriffe zeigen erneut, wie gefährlich bislang unbekannte Schwachstellen in gängigen Infrastrukturlösungen sind – insbesondere dann, wenn diese aus dem Internet erreichbar sind. Selbst vollständige Patch-Stände bieten keinen absoluten Schutz, wenn Zero-Day-Exploits im Spiel sind.

SonicWall-Anwender sollten daher nicht auf ein Update warten, sondern aktiv Schutzmaßnahmen ergreifen – die Bedrohung ist real, das Zeitfenster zur Reaktion klein.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.