Incident MySonicWall & Akira (2025)

Ce n’est pas un « hébergeur externe » : MySonicWall est le portail client officiel de SonicWall qui propose une sauvegarde cloud des configurations de pare-feux. En septembre 2025, SonicWall a confirmé un accès non autorisé à des fichiers de configuration sauvegardés dans certains comptes (< 5 % du parc). Les mots de passe y sont chiffrés, mais des configurations exposées peuvent faciliter une exploitation si l’équipement n’est pas durci.

À faire maintenant (essentiel)

Vérifier si des numéros de série indiquent des backups cloud dans MySonicWall (bannière).
Réduire la surface : couper/limiter la gestion depuis WAN, restreindre VirtualOffice:4433, limiter SSL-VPN/IPSec aux IPs de confiance.
Tourner les secrets : comptes locaux + MFA/TOTP, PSK IPSec, mots de passe SSL-VPN, LDAP/RADIUS, SNMPv3, clés/jetons de services.
Mettre à jour en SonicOS ≥ 7.3.x et corriger les mauvaises configs connues (groupes LDAP par défaut, comptes inactifs).
Surveiller 30 jours : connexions VPN atypiques, exports de config, nouveaux admins, ré-enrôlements TOTP, accès à /VirtualOffice.

Repères chiffrés

< 5 %du parc avec backups exposés

40+attaques observées (été 2025) liées à CVE-2024-40766

~ 1,1 M$paiement moyen (Q2 2025, estimations sectorielles)

Sources : avis SonicWall, analyses Rapid7/Halcyon, rapports de sinistres 2025.

Akira — qui sont-ils ? que veulent-ils ?

Akira opère en Ransomware-as-a-Service depuis 2023. Objectif financier via double extorsion (vol + chiffrement). En 2025, ils ciblent fortement les équipements exposés (VPN/pare-feux), exploitent SonicWall (CVE-2024-40766) et ont été observés en BYOVD pour désactiver Microsoft Defender à l’aide de pilotes vulnérables.

Porte d’entrée : appliances non corrigées + mauvaises configs (groupes LDAP par défaut, portail Virtual Office public).
Tactique : BYOVD (pilotes vulnérables) pour neutraliser AV/EDR, escalade et persistance.
Activité 2025 : pics juillet–septembre ; nombreux forensics rapportés.

Réfs : Rapid7, SonicWall, GuidePoint, TheHackerNews, Tenable.

Chronologie rapide — SonicWall & Akira

Sept. 2024 : CVE-2024-40766 (improper access control) ; ajouté à la liste CISA KEV.
Mi-juil. → début août 2025 : 40+ attaques liées à CVE-2024-40766 (SSL-VPN) + mauvaises configs.
11 sept. 2025 : avis/médias sur la vague d’attaques ; mise au point « pas de 0-day depuis juin ».
17 sept. 2025 : KB officielle de SonicWall sur l’incident sauvegardes MySonicWall.

Top groupes (attaques / $$$) — 2024 → 2025

Les palmarès varient selon les sources (victimes publiées, paiements estimés, IR). Convergence récente :

Groupe	Pourquoi dans le Top	Repères
Qilin (Agenda)	Très haut sur les leak sites en 2025 ; cible ESXi/Windows ; opérations soutenues.	Classements Q2 2025 (leak posts)
Akira	Forte poussée 2025 via SonicWall & équipements en bordure ; multiples IR publics.	Rapid7, médias sécurité
Play	Capacité de lockout de pare-feux ; incidents nécessitant reset matériel.	Advisories FBI/CISA/ACSC ; Halcyon
RansomHub	Parmi les plus prolifiques 2024 ; reprise de charges ex-ALPHV.	GTIR / Flashpoint
LockBit	Leader historique ; démantèlement 2024 mais empreinte persistante via rebrands.	Operation Cronos (DoJ/NCA)

RaaS dominant
Écosystème de courtiers & affiliés

Cibles
PME, MSP, collectivités

Vecteurs
VPN/pare-feux, RDP, phishing

Cas similaires (récent/historique)

Cl0p / MOVEit (2023) : exploitation d’une faille MOVEit Transfer (CVE-2023-34362) → vols massifs par supply-chain.
LockBit (2024) : démantèlement partiel « Operation Cronos » (NCA/FBI, partenaires) ; impact fort mais résilience de l’écosystème.
Play / SonicWall (2025) : IR avec verrouillage complet des firewalls (coupure ISP + reset matériel).

Prévenir / limiter l’impact — checklists

Durcissement immédiat

Désactiver la gestion WAN (HTTP/HTTPS/SSH) ou restreindre via allowlist.
Restreindre VirtualOffice:4433 au LAN/VPN ; limiter SSL-VPN/IPSec aux IPs de confiance.
MFA forte pour admins, supprimer comptes inactifs.
Activer Botnet filtering, Geo-IP, lockout et envoyer journaux vers syslog/SIEM.

Secrets & sauvegardes

Traiter toute config sauvegardée comme contenant des secrets.
Rotation : comptes locaux + TOTP, PSK IPSec, LDAP/RADIUS/TACACS+, SNMPv3, clefs/jetons services.
Sauvegardes séparées, chiffrées, hors-ligne ; tests de restauration trimestriels.

Détection & réponse

Alertes : SSL-VPN inhabituels (pays/IP/heure), export de configuration, création d’admin, ré-enrôlement TOTP.
Chasse aux signes BYOVD (chargement de pilotes suspects) & désactivation de Defender/EDR.
Plan IR : coupure ISP & reset matériel si perte de contrôle.
Cartographier les services exposés et fermer par défaut ; n’ouvrir qu’au besoin.

Références (liens)

SonicWall — MySonicWall Cloud Backup File Incident
SonicWall — Notice activités SSL-VPN
Rapid7 — CVE-2024-40766 • Akira & SonicWall
GuidePoint — Akira : BYOVD & pilotes
TheHackerNews — Exploitation active (sept. 2025)
CyberScoop — Vague juil.–août 2025
Tenable — FAQ SonicWall/Akira
Flashpoint — GTIR 2025
Halcyon — Power Rankings Q2 2025 • Play & lockouts
Cl0p / MOVEit — Advisory CISA/FBI
Operation Cronos (LockBit) — DoJ

⚠️ Les top listes évoluent (takedowns, rebrandings). Cette page offre un instantané avec des pistes de vérification officielles.