Gelombang baru serangan siber kembali mengguncang dunia keamanan digital. Kali ini, perangkat SonicWall SSL VPN menjadi target utama ransomware Akira, berdasarkan temuan terbaru dari tim Arctic Wolf Labs.
Serangan yang mulai terdeteksi pada pertengahan Juli 2025 ini menunjukkan pola yang mengkhawatirkan. Dalam waktu singkat, sejumlah insiden akses VPN mencurigakan melalui SonicWall berhasil diidentifikasi—sebagian besar terjadi sebelum penyanderaan data (ransomware) dilakukan. Menurut peneliti Julian Tuin, beberapa perangkat yang disusupi telah diperbarui dengan patch terbaru, yang memunculkan dugaan bahwa pelaku mungkin mengeksploitasi celah keamanan zero-day.
Meski begitu, kemungkinan akses awal melalui pencurian kredensial juga belum bisa sepenuhnya dikesampingkan.
Arctic Wolf mencatat perbedaan mencolok antara aktivitas login VPN yang sah dan yang dilakukan oleh pelaku ransomware:
- Login sah umumnya berasal dari jaringan penyedia internet rumahan.
- Login jahat sering datang dari Virtual Private Server (VPS), menandakan lingkungan yang telah dikompromikan.
- Lebih jauh, aktivitas mencurigakan serupa sebenarnya sudah terlacak sejak Oktober 2024, menunjukkan bahwa SonicWall sudah menjadi target jangka panjang bagi kelompok ransomware ini.
Hingga artikel ini diterbitkan, SonicWall belum memberikan tanggapan resmi. Namun, organisasi disarankan untuk segera mengambil langkah proaktif:
- Nonaktifkan layanan SonicWall SSL VPN hingga patch keamanan tersedia.
- Terapkan multi-factor authentication (MFA) untuk akses jarak jauh.
- Hapus akun firewall lokal yang tidak lagi digunakan.
- Terapkan kebijakan password yang kuat dan aman.
Akira bukan pemain baru. Sejak kemunculannya di Maret 2023, kelompok ini telah mengklaim lebih dari 250 korban dan meraup sekitar $42 juta USD dari aktivitas pemerasan digital. Menurut laporan dari Check Point, Akira adalah kelompok ransomware paling aktif kedua di kuartal kedua 2025, tepat di bawah Qilin. Menariknya, Italia menjadi fokus utama, dengan 10% korban berasal dari negara tersebut—jauh di atas rata-rata global sebesar 3%.
Jika Anda mengelola infrastruktur VPN atau perangkat jaringan, penting untuk melakukan audit keamanan secara berkala dan memantau aktivitas login mencurigakan secara real time. Jangan tunggu sampai jadi korban berikutnya.