Ransomware Akira: Nueva campaña dirigida a los firewalls de SonicWall

Redazione RHC : 28 septiembre 2025 15:03

Desde finales de julio de 2025, se ha registrado una nueva ola de ciberataques dirigidos a organizaciones equipadas con firewalls SonicWall, con la propagación activa del ransomware Akira .

Según investigadores de Arctic Wolf Labs , la actividad maliciosa ha aumentado significativamente y persiste. Los atacantes obtienen acceso inicial a través de conexiones VPN SSL comprometidas , eludiendo con éxito la autenticación multifactor (MFA) . Una vez dentro de la red, pasan rápidamente a la fase de cifrado; en algunos casos, el tiempo de permanencia antes de la liberación del ransomware fue de tan solo 55 minutos .

La vulnerabilidad explotada y el papel de las credenciales robadas

Los ataques se han vinculado a CVE-2024-40766 , una vulnerabilidad de control de acceso descubierta en 2024. La hipótesis principal es que los delincuentes obtuvieron previamente credenciales de dispositivos expuestos y vulnerables, las cuales ahora explotaron contra dispositivos ya parcheados. Esto explica por qué se comprometieron los sistemas con todos los parches, una circunstancia que inicialmente alimentó la hipótesis de un nuevo exploit de día cero.

Otro elemento crítico se refiere a la OTP MFA de SonicWall : los atacantes pudieron autenticarse incluso con cuentas protegidas por esta función, lo que aumentó la gravedad de la campaña.

Técnicas y herramientas utilizadas

Una vez que obtienen acceso a través de SSL VPN, los atacantes:

• iniciar un escaneo de red interna para identificar puertos expuestos como SMB (445), RPC (135) y SQL (1433) ;
• utilizar herramientas de reconocimiento y movimiento lateral, incluidas Impacket, SoftPerfect Network Scanner y Advanced IP Scanner ;
• crear nuevas cuentas administrativas y aumentar los privilegios de las existentes;
• instalar software de acceso remoto como AnyDesk, TeamViewer y RustDesk para garantizar la persistencia;
• Establecer conexiones ocultas a través de SSH inverso y túneles de Cloudflare .

Para reducir la posibilidad de detección, los actores de amenazas intentan deshabilitar las soluciones de seguridad de puntos finales, como Windows Defender y EDR.

En algunos casos, utilizan la técnica BYOVD (traiga su propio controlador vulnerable) para comprometer los sistemas a nivel del kernel y eliminar copias de volúmenes de sombra para evitar restauraciones.

Desde la recopilación de datos hasta la liberación de ransomware

Antes de iniciar el cifrado, los atacantes extraen información confidencial: comprimen los archivos con WinRAR y los extraen con herramientas como rclone y FileZilla . Luego distribuyen el ransomware Akira mediante archivos ejecutables llamados akira.exe o locker.exe , cifrando unidades de red y ejecutando la nota de rescate.

Recomendaciones para las organizaciones

Los expertos de Arctic Wolf instan a todas las organizaciones que utilizan dispositivos SonicWall a tomar medidas inmediatas.

En particular, se recomienda restablecer las credenciales de la VPN SSL , incluidas las cuentas vinculadas a Active Directory, especialmente si los sistemas han ejecutado previamente firmware vulnerable a CVE-2024-40766. Aplicar parches no se considera suficiente si las credenciales ya se han visto comprometidas.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli