AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Akira Ransomware intensifica su explotación de vulnerabilidades en SonicWall mediante herramientas legítimas

admin

#### 1. Introducción

El grupo de ransomware Akira ha vuelto a situarse en el punto de mira de la comunidad de ciberseguridad tras una nueva oleada de ataques dirigidos contra empresas que utilizan dispositivos SonicWall. Los actores de amenazas han demostrado una sofisticación creciente, aprovechando tanto vulnerabilidades no parcheadas como el uso de herramientas legítimas para el movimiento lateral y la evasión de detección en entornos corporativos. Este artículo analiza en profundidad los vectores de ataque observados, los detalles técnicos de la campaña y las mejores prácticas para mitigar los riesgos asociados.

#### 2. Contexto del Incidente o Vulnerabilidad

Desde mediados de 2023, Akira ha explotado activamente vulnerabilidades en dispositivos SonicWall, en particular aquellas que permiten la ejecución remota de código y la elevación de privilegios. En el incidente más reciente, los atacantes accedieron a un controlador de dominio utilizando Datto RMM (Remote Monitoring and Management), una herramienta legítima de administración remota, lo que les permitió operar de forma sigilosa y evitar soluciones tradicionales de detección basadas en firmas.

Los ataques han impactado principalmente a organizaciones medianas y grandes de sectores como manufactura, servicios profesionales y administración pública, según reportes recientes de SecurityWeek y empresas de inteligencia de amenazas.

#### 3. Detalles Técnicos

##### Vulnerabilidades explotadas

El vector de acceso inicial más reportado corresponde a la explotación de la vulnerabilidad **CVE-2022-22280** en SonicWall SMA 100 Series, que permite la ejecución remota de código sin autenticación previa. Aunque SonicWall publicó parches en 2022, se estima que al menos un 15% de los dispositivos expuestos a Internet siguen siendo vulnerables, de acuerdo con escaneos de Shodan a fecha de mayo de 2024.

##### Herramientas y TTP

Tras el acceso inicial, los atacantes desplegaron **Datto RMM** en el controlador de dominio, una técnica de «living-off-the-land» (LOL), muy en línea con el marco MITRE ATT&CK:

– **T1059 – Command and Scripting Interpreter:** Uso de PowerShell y cmd.exe para ejecutar scripts maliciosos.
– **T1021.002 – Remote Services: SMB/Windows Admin Shares:** Para el movimiento lateral.
– **T1078 – Valid Accounts:** Uso de credenciales válidas obtenidas para persistencia y escalada.
– **T1218 – Signed Binary Proxy Execution:** Ejecución de binarios legítimos para evadir controles.

Además, se han detectado módulos personalizados de **Cobalt Strike** y scripts de PowerShell para el reconocimiento interno y la exfiltración de datos. Los indicadores de compromiso (IoC) incluyen conexiones anómalas al puerto 443 de dispositivos SonicWall y despliegue de archivos ejecutables firmados por Datto en rutas poco habituales.

##### Exploits y frameworks

El acceso inicial suele apoyarse en exploits públicos disponibles en Metasploit y GitHub. Los operadores de Akira han adaptado scripts para automatizar la explotación y el despliegue de cargas útiles, además de modificar configuraciones de firewall para mantener la persistencia.

#### 4. Impacto y Riesgos

El impacto de estos ataques es significativo:

– **Interrupción de servicios críticos**: El cifrado de archivos y sistemas clave.
– **Exfiltración de datos sensibles**: Información personal, financiera y propiedad intelectual.
– **Riesgo de doble extorsión**: Amenazas de publicación de datos si no se paga el rescate.
– **Costes económicos**: Según estimaciones, el rescate medio solicitado por Akira oscila entre 200.000 y 1.500.000 dólares por incidente.
– **Cumplimiento normativo**: Posibles sanciones en virtud del GDPR y la Directiva NIS2 en la UE.

Al menos un 40% de las víctimas de Akira durante 2024 habían sido comprometidas a través de dispositivos SonicWall.

#### 5. Medidas de Mitigación y Recomendaciones

– **Parcheo inmediato** de dispositivos SonicWall y otros perímetros expuestos.
– **Revisión de herramientas RMM**: Inventario y control de aplicaciones legítimas usadas para administración remota.
– **Implementación de EDR/XDR** que detecten comportamientos anómalos y uso indebido de binarios legítimos.
– **Hardening de credenciales**: MFA y rotación periódica de contraseñas privilegiadas.
– **Segmentación de red**: Limitando el movimiento lateral y el acceso a recursos críticos.
– **Monitorización de logs**: Especialmente eventos de acceso RDP, SMB y ejecución de scripts.
– **Simulacros de respuesta** y planes de contingencia ante ransomware.

#### 6. Opinión de Expertos

Expertos como Jake Williams (ex-NSA, ahora consultor de ciberseguridad) subrayan que “el uso de herramientas legítimas por parte de operadores de ransomware como Akira representa un desafío mayúsculo para los equipos SOC, exigiendo un cambio hacia la detección basada en comportamiento y análisis contextual”.

Desde ENISA, se incide en la necesidad de adoptar un enfoque de “Zero Trust” y fortalecer la supervisión de aplicaciones de administración remota, que han pasado de ser una puerta trasera ocasional a un vector de ataque principal en 2024.

#### 7. Implicaciones para Empresas y Usuarios

El incidente revela la urgencia de revisar no sólo los parches de seguridad, sino también las políticas en torno al uso de herramientas de administración remota. Empresas sujetas a GDPR o NIS2 pueden enfrentarse a duras sanciones en caso de brechas que afecten a datos personales o servicios esenciales, además de pérdidas reputacionales y operativas.

Los usuarios y administradores deben ser conscientes de que la seguridad perimetral ya no es suficiente y que la supervisión de herramientas legítimas será clave en la defensa proactiva.

#### 8. Conclusiones

La campaña de Akira contra dispositivos SonicWall pone de manifiesto el cambio de paradigma en ataques de ransomware: explotación de vulnerabilidades conocidas, uso de herramientas legítimas para evadir controles y técnicas avanzadas de persistencia y exfiltración. La actualización constante, la detección basada en comportamiento y la gestión restrictiva de herramientas RMM resultan imprescindibles para mitigar estos riesgos en un entorno cada vez más hostil.

(Fuente: www.securityweek.com)