9月初資安業者SonicWall針對防火牆作業系統SonicOS重大層級漏洞CVE-2024-40766（CVSS風險評分為9.3），表明他們掌握這項漏洞有實際攻擊行動出現，資安業者Arctic Wolf也觀察到相關資安事故，如今他們公佈更多調查結果。

10月24日Arctic Wolf表示，他們最早是在8月初察覺勒索軟體Akira及Fog的攻擊行動顯著增加的情況，而且，駭客初期入侵受害組織環境的管道，就是利用SonicWall防火牆設備的SSL VPN帳號。

截至10月中旬，駭客已發起約30起攻擊行動，根據研究人員掌握的受害企業組織產業類型和規模，駭客很可能隨機尋找下手目標，並未針對特定產業而來。

這些資安事故當中，約有四分之三與Akira有關，其餘則是被植入Fog。研究人員提及，駭客從入侵到加密檔案的時間並不長，大部分接近10個小時，但最短的僅有1.5至2個小時。

針對駭客入侵的方法，研究人員根據防火牆的事件記錄資料進行分析，他們尚未發現利用其他已知RCE漏洞的跡象，而且，攻擊者主要是透過虛擬專用伺服器（VPS）存取SSL VPN連線。值得一提的是，駭客利用的SSL VPN帳號並未與AD或其他類似的身分驗證機制整合，但研究人員無法確認使用者有無啟用多因素驗證（MFA）機制。

值得留意的是，在部分Akira和Fog攻擊事故當中，出現駭客似乎共用IP位址及相關基礎設施的情況，但是否就是同一組人馬從事攻擊？研究人員並未進一步說明。

對於駭客成功入侵的後續活動，Arctic Wolf發現駭客將偷到的資料分為兩大類，一是6個月內有資料外洩價值的應用程式、員工檔案與通用檔案，另一是30個月內有資料外洩價值的檔案，像是人力資源或是應付帳款的資料。

雖然研究人員無法斷定駭客在攻擊行動當中利用了CVE-2024-40766，甚至認為VPN帳密資料可能是透過其他管道取得，但有鑑於該漏洞相當危險，他們認為IT人員還是應優先處理，以免身陷漏洞相關風險。