Ataques de ransomware Akira explotan vulnerabilidades en SonicWall SSL VPN en nueva oleada

## Introducción

Durante la última semana de julio de 2025, se ha registrado un repunte significativo de ataques de ransomware Akira dirigidos contra dispositivos SonicWall SSL VPN. Investigadores de Arctic Wolf Labs han identificado una serie de intrusiones previas al despliegue de ransomware, todas ellas facilitadas por accesos no autorizados a través de infraestructuras VPN basadas en SonicWall. Este fenómeno pone de manifiesto la persistencia de los actores de amenazas en explotar vectores de acceso remoto, así como la importancia crítica de la gestión de vulnerabilidades y la monitorización continua en entornos corporativos.

## Contexto del Incidente

El ransomware Akira, activo desde 2023, ha evolucionado en sus tácticas, técnicas y procedimientos (TTP), centrándose especialmente en el acceso inicial mediante servicios VPN expuestos y mal gestionados. SonicWall, fabricante ampliamente implantado en empresas medianas y grandes, ha sido objeto de múltiples vulnerabilidades críticas en sus servicios SSL VPN a lo largo de los últimos años. La oleada observada a finales de julio de 2025 se caracteriza por compromisos consecutivos en cortos periodos de tiempo, lo que sugiere campañas automatizadas o altamente orquestadas, dirigidas a organizaciones con infraestructuras remotas accesibles desde Internet.

## Detalles Técnicos

Las investigaciones de Arctic Wolf Labs revelan que los atacantes logran acceso inicial explotando vulnerabilidades conocidas en SonicWall SSL VPN, aunque no se ha confirmado la explotación de una CVE específica en estos incidentes recientes. Históricamente, vulnerabilidades como CVE-2019-7481, CVE-2021-20016 y CVE-2021-20038 han permitido la obtención de credenciales o la ejecución remota de código en estos dispositivos.

El vector de ataque predominante se centra en la explotación de configuraciones inseguras, credenciales débiles o filtradas (credential stuffing), y la ausencia de autenticación multifactor (MFA). Una vez obtenido acceso VPN, los atacantes llevan a cabo movimientos laterales, reconocimiento interno y escalada de privilegios (técnicas MITRE ATT&CK: T1078 – Valid Accounts, T1566 – Phishing, T1210 – Exploitation of Remote Services). Posteriormente, se observa la utilización de herramientas como Cobalt Strike para persistencia y control, y exfiltración de datos antes del cifrado final.

Los Indicadores de Compromiso (IoC) más relevantes incluyen direcciones IP de acceso sospechoso fuera del rango habitual de la organización, patrones anómalos en logs de autenticación, y la aparición de agentes de Cobalt Strike y cargas de Akira identificables mediante firmas YARA.

## Impacto y Riesgos

El impacto de estos ataques es considerable. Según estimaciones recientes, más del 20% de las medianas empresas que utilizan SonicWall SSL VPN podrían estar potencialmente expuestas si no han aplicado los parches de seguridad pertinentes ni implementado MFA. El despliegue exitoso del ransomware Akira conlleva la interrupción operativa de sistemas críticos, pérdida o exfiltración de datos sensibles y riesgos de incumplimiento de normativas como GDPR o la directiva NIS2.

Las demandas de rescate promedio asociadas a Akira han oscilado entre 250.000 y 2 millones de euros por incidente en 2024, con una tendencia al alza ligada a la doble extorsión (cifrado y amenaza de filtración de datos).

## Medidas de Mitigación y Recomendaciones

Las organizaciones deben priorizar la aplicación inmediata de los últimos parches de seguridad proporcionados por SonicWall, especialmente en los módulos SSL VPN expuestos a Internet. Es esencial habilitar y exigir MFA para todo acceso remoto, así como revisar y limitar los grupos y permisos asociados a las cuentas administrativas.

Se recomienda monitorizar exhaustivamente los logs de acceso VPN y los eventos de autenticación, así como implementar soluciones EDR/XDR para detectar actividades anómalas post-explotación. Las pruebas de intrusión periódicas (pentesting) y el uso de frameworks de simulación de adversarios, como Metasploit, pueden ayudar a identificar posibles vectores de ataque internos o externos.

## Opinión de Expertos

Julian Tuin, investigador de Arctic Wolf Labs, subraya que “la tendencia a explotar servicios VPN vulnerables persiste debido a la falta de higiene básica de seguridad en muchas organizaciones. La exposición innecesaria de interfaces críticas y el uso de credenciales no robustas facilitan el trabajo de los grupos de ransomware”.

Expertos independientes del CERT-EU apuntan a que “el modelo de doble extorsión y la explotación de dispositivos perimetrales seguirán en auge en tanto las empresas no adopten una estrategia zero trust y no auditen regularmente sus superficies de exposición”.

## Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de TI, este incidente refuerza la necesidad de una gestión proactiva de vulnerabilidades, la revisión constante de la superficie de ataque y la formación continua en ciberseguridad para todos los usuarios con acceso remoto. Los administradores de sistemas deben auditar la configuración de sus dispositivos perimetrales, minimizar la exposición de servicios y establecer planes de respuesta ante incidentes que contemplen escenarios de ransomware.

El mercado anticipa un incremento en la demanda de soluciones SASE y ZTNA, así como una mayor presión regulatoria para la notificación temprana de brechas bajo el marco de NIS2.

## Conclusiones

La reciente campaña de ransomware Akira contra infraestructuras SonicWall SSL VPN evidencia la relevancia de reforzar los controles de acceso remoto y la importancia de una gestión activa de vulnerabilidades. El vector VPN sigue siendo uno de los favoritos para los atacantes debido a la criticidad de los activos que protege y la frecuencia de malas prácticas en su implementación. Solo mediante la adopción de medidas técnicas, organizativas y de concienciación adecuadas será posible mitigar estos riesgos de manera efectiva.

(Fuente: feeds.feedburner.com)