La campagna ransomware Akira sfrutta una tripletta di vulnerabilità di SonicWall: CVE-2024-40766 (controllo degli accessi non corretto), VPN SSL non configurate correttamente e portali Virtual Office accessibili al pubblico. Queste vulnerabilità consentono agli aggressori di ottenere l'accesso iniziale, portando potenzialmente alla crittografia completa nel giro di poche ore. Oltre 438.000 dispositivi SonicWall sono rimasti accessibili al pubblico, creando una superficie di attacco significativa. Gli attacchi hanno provocato numerosi episodi di ransomware confermati.

Una campagna ransomware prende di mira organizzazioni nella regione Asia-Pacifico, principalmente Thailandia e Stati Uniti, colpendo i settori manifatturiero, edile, sanitario e assicurativo. Gli aggressori ottengono l'accesso iniziale tramite servizi Internet sfruttati o credenziali compromesse, utilizzando strumenti personalizzati per eludere la protezione degli endpoint, disabilitare i servizi di sicurezza e ottenere un movimento laterale. Il malware elimina le tracce della sua attività, inclusi i file di Windows Defender e il contenuto del Cestino, prima di autoeliminarsi. Questo approccio altamente personalizzato complica notevolmente il rilevamento e la risposta.

ChillyHell, una backdoor modulare per macOS scritta in C++, utilizza diversi meccanismi di persistenza, tra cui LaunchAgent, LaunchDaemon e la modifica del profilo shell. Utilizza il timesomping e passa da un protocollo di comando e controllo all'altro per eludere gli attacchi. Il malware scarica aggiornamenti, rilascia payload, forza bruta le password ed estrae nomi utente per ulteriori attacchi. Un campione autenticato è stato ospitato pubblicamente, a indicare un'infezione non rilevata.

Un attore malevolo sta vendendo l'accesso ai dati sensibili del Comune di Canegrate su un forum dedicato alla criminalità informatica per 500 dollari. Le informazioni trapelate includono dati personali dei residenti, credenziali interne e vari database dei servizi comunali.