AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

## Akira intensifica ataques contra dispositivos SonicWall mediante explotación de SSL VPN

admin

### Introducción

En las últimas semanas, analistas de ciberseguridad han detectado un aumento significativo en los ataques dirigidos contra dispositivos SonicWall, especialmente a través de la explotación de vulnerabilidades en sus servicios SSL VPN. El grupo de ransomware Akira, conocido por sus sofisticadas campañas de extorsión y cifrado, ha incrementado su actividad desde finales de julio de 2025, utilizando estos dispositivos como vector principal de acceso inicial a redes corporativas. Este artículo desglosa los detalles técnicos de la campaña, los riesgos para las organizaciones y las mejores prácticas para mitigar la amenaza.

### Contexto del Incidente

El grupo Akira, activo desde principios de 2023, ha evolucionado rápidamente en su enfoque y capacidades. Mientras que inicialmente empleaban vectores clásicos como phishing y explotación de servicios RDP expuestos, en los últimos meses han centrado su atención en vulnerabilidades específicas de dispositivos perimetrales, en particular los appliances de SonicWall. La firma de seguridad Rapid7 ha reportado un aumento del 40% en intrusiones relacionadas con SonicWall en el último mes, correlacionado con la última ola de ataques de Akira.

SonicWall, por su parte, ha emitido comunicados reconociendo una campaña dirigida contra sus soluciones SSL VPN, advirtiendo a sus clientes sobre la necesidad de reforzar controles y aplicar parches de seguridad de manera urgente.

### Detalles Técnicos

La campaña se caracteriza por la explotación activa de vulnerabilidades en los servicios SSL VPN de SonicWall, principalmente aquellas descritas en el CVE-2024-3274 y CVE-2024-23484, ambas de severidad crítica (CVSS 9.8 y 9.4 respectivamente). Estas vulnerabilidades permiten a un atacante remoto ejecutar código arbitrario sin autenticación previa, facilitando el acceso inicial y la posterior propagación lateral.

#### Vectores de Ataque

– **Explotación remota de SSL VPN:** Los actores de amenaza escanean masivamente el puerto 443 en busca de dispositivos expuestos y vulnerables.
– **Uso de credenciales comprometidas:** En algunos casos, se observó el uso de combinaciones de phishing y credenciales obtenidas de brechas anteriores para acceder a portales VPN.
– **Tácticas y Técnicas MITRE ATT&CK:**
– **Initial Access (T1190 – Exploit Public-Facing Application)**
– **Credential Access (T1078 – Valid Accounts)**
– **Lateral Movement (T1021 – Remote Services)**
– **Persistence (T1136 – Create Account)**

#### Indicadores de Compromiso (IoC)

– Tráfico anómalo en el portal SSL VPN (IP de origen: 185.225.74.XX, 37.120.213.XX)
– Ficheros ejecutables sospechosos en rutas temporales del sistema SonicOS
– Uso de frameworks como Metasploit y Cobalt Strike para el post-explotación
– Dumping de hashes de credenciales y movimiento lateral hacia servidores internos mediante SMB y RDP

### Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades permite a los actores desplegar payloads de ransomware Akira, cifrar información crítica y exfiltrar datos sensibles para posteriormente extorsionar a las víctimas bajo la amenaza de divulgación (doble extorsión). Según Rapid7, aproximadamente el 15% de los clientes de SonicWall consultados reportaron actividad sospechosa correlacionada con esta campaña.

El impacto potencial incluye:

– Interrupción de operaciones esenciales
– Pérdidas económicas directas (costes de rescate medios superiores a 500.000 € por incidente)
– Incumplimientos regulatorios (GDPR, NIS2), con posibles sanciones de hasta el 4% de la facturación anual

### Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque, se recomienda:

– **Actualizar inmediatamente a la versión más reciente de SonicOS** y aplicar todos los parches de seguridad publicados por SonicWall.
– **Restringir el acceso al portal SSL VPN** mediante listas blancas de IP y autenticación multifactor (MFA).
– **Monitorizar logs y tráfico de red** en busca de IoCs asociados a la campaña Akira.
– **Auditar credenciales y deshabilitar cuentas no utilizadas.**
– **Implementar segmentación de red** para limitar el movimiento lateral en caso de compromiso.
– **Realizar simulacros de respuesta ante ransomware** y revisar los procedimientos de backup y restauración.

### Opinión de Expertos

Expertos de Rapid7 y SANS Institute coinciden en que el creciente targeting de dispositivos perimetrales responde a la mejora continua de las estrategias ofensivas de los grupos de ransomware. “La explotación de SSL VPN en SonicWall no es accidental. Es el resultado de una búsqueda sistemática de vulnerabilidades en tecnologías ampliamente desplegadas y, a menudo, mal gestionadas”, señala John Fokker, jefe de investigaciones de amenazas en Rapid7. Según Fokker, “la defensa en profundidad y la reducción de la exposición remota son más críticas que nunca”.

### Implicaciones para Empresas y Usuarios

Para las empresas, la brecha de un dispositivo SonicWall puede facilitar la entrada no solo de ransomware, sino de otros tipos de malware y ataques dirigidos. La protección de estos dispositivos es clave para el cumplimiento normativo y la continuidad de negocio. Los usuarios finales, por su parte, se ven afectados indirectamente a través de interrupciones en servicios, pérdida de datos y exposición de información personal.

### Conclusiones

El resurgimiento de Akira y su enfoque en dispositivos SonicWall pone de relieve la importancia de la gestión proactiva de vulnerabilidades y la vigilancia continua de los activos expuestos. Las organizaciones deben priorizar la protección de sus puntos de acceso perimetrales y adoptar una postura de seguridad que anticipe este tipo de ataques avanzados.

(Fuente: feeds.feedburner.com)