9月初资安业者SonicWall针对防火墙操作系统SonicOS重大层级漏洞CVE-2024-40766（CVSS风险评分为9.3），表明他们掌握这项漏洞有实际攻击行动出现，资安业者Arctic Wolf也观察到相关资安事故，如今他们公布更多调查结果。

10月24日Arctic Wolf表示，他们最早是在8月初察觉勒索软件Akira及Fog的攻击行动显著增加的情况，而且，黑客初期入侵受害组织环境的管道，就是利用SonicWall防火墙设备的SSL VPN帐号。

截至10月中旬，黑客已发起约30起攻击行动，根据研究人员掌握的受害企业组织产业类型和规模，黑客很可能随机寻找下手目标，并未针对特定产业而来。

这些资安事故当中，约有四分之三与Akira有关，其余则是被植入Fog。研究人员提及，黑客从入侵到加密文件的时间并不长，大部分接近10个小时，但最短的仅有1.5至2个小时。

针对黑客入侵的方法，研究人员根据防火墙的事件记录数据进行分析，他们尚未发现利用其他已知RCE漏洞的迹象，而且，攻击者主要是通过虚拟专用服务器（VPS）存取SSL VPN连接。值得一提的是，黑客利用的SSL VPN帐号并未与AD或其他类似的身分验证机制集成，但研究人员无法确认用户有无激活多因素验证（MFA）机制。

值得留意的是，在部分Akira和Fog攻击事故当中，出现黑客似乎共用IP位址及相关基础设施的情况，但是否就是同一组人马从事攻击？研究人员并未进一步说明。

对于黑客成功入侵的后续活动，Arctic Wolf发现黑客将偷到的数据分为两大类，一是6个月内有数据外泄价值的应用程序、员工文档与通用文件，另一是30个月内有数据外泄价值的文档，像是人力资源或是应付帐款的数据。

虽然研究人员无法断定黑客在攻击行动当中利用了CVE-2024-40766，甚至认为VPN帐密数据可能是通过其他管道取得，但有鉴于该漏洞相当危险，他们认为IT人员还是应优先处理，以免身陷漏洞相关风险。