AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Akira Ransomware Perfecciona Ataques contra SonicWall SSL VPN Eludiendo MFA con OTP**

admin

### Introducción

En las últimas semanas, los equipos de ciberseguridad han observado una sofisticada oleada de ataques de ransomware Akira dirigida específicamente a dispositivos SonicWall SSL VPN. El aspecto más preocupante de esta campaña es la capacidad de los atacantes para acceder a cuentas empresariales protegidas con autenticación multifactor (MFA) basada en contraseñas de un solo uso (OTP). Este avance en las tácticas pone en entredicho la confianza en los mecanismos de autenticación de segundo factor y plantea serios retos a los profesionales de la seguridad.

### Contexto del Incidente o Vulnerabilidad

Akira, un ransomware emergente desde 2023, ha consolidado su presencia en el sector tras explotar vulnerabilidades en dispositivos perimetrales de acceso remoto. Los investigadores han detectado que las variantes recientes del grupo están dirigidas a appliances de SonicWall SSL VPN, utilizados por cientos de empresas para facilitar el teletrabajo seguro. Las víctimas se reparten principalmente entre sectores críticos como manufactura, tecnología y servicios financieros.

Lo novedoso de este ciclo de ataques radica en que los actores de amenazas han logrado iniciar sesión en portales VPN corporativos pese a que las cuentas estaban protegidas con MFA OTP, normalmente considerado un estándar robusto. La investigación apunta a una posible obtención previa de las semillas OTP (secrets TOTP), si bien el vector inicial de compromiso aún no ha sido confirmado públicamente.

### Detalles Técnicos

La campaña de Akira se apoya en la explotación de dispositivos SonicWall SSL VPN, especialmente aquellos que ejecutan versiones vulnerables o no actualizadas de firmware, como SonicOS 6.x y 7.x. Hasta el momento, no se ha atribuido el ataque a una CVE concreta, aunque incidentes anteriores han implicado vulnerabilidades como CVE-2021-20016 y CVE-2022-22279, relacionadas con la filtración de credenciales y bypass de autenticación.

El modus operandi identificado incluye:

– Enumeración de cuentas activas mediante técnicas automatizadas.
– Intentos de acceso con credenciales válidas, presumiblemente obtenidas por phishing, fuerza bruta o a través de bases de datos filtradas.
– Suplantación del segundo factor mediante el uso de seeds TOTP previamente comprometidos o interceptados, lo que sugiere una posible exfiltración previa del fichero de configuración del servidor VPN o acceso a sistemas de gestión de autenticación.
– Uso de herramientas post-explotación como Cobalt Strike para movimientos laterales y Metasploit para escalar privilegios y mantener persistencia.
– Despliegue y ejecución del payload de ransomware Akira, cifrando archivos críticos y exfiltrando datos sensibles para doble extorsión.

El mapeo TTP bajo MITRE ATT&CK incluye técnicas como «Valid Accounts» (T1078), «Multi-Factor Authentication Interception» (T1111), y «Command and Control» (T1071).

Indicadores de Compromiso (IoC) reportados incluyen conexiones sospechosas a direcciones IP asociadas a la infraestructura Akira, cambios en ficheros de configuración de VPN y logs de acceso fuera de horario habitual.

### Impacto y Riesgos

El principal riesgo reside en la posibilidad de que la autenticación OTP esté comprometida de raíz, invalidando la protección MFA y facilitando el acceso no autorizado incluso tras la rotación de contraseñas. Esto incrementa drásticamente la superficie de ataque y la probabilidad de compromiso total del entorno corporativo.

Se han reportado pérdidas económicas superiores a los 10 millones de dólares entre las víctimas recientes, además de interrupciones operativas severas y filtraciones de datos personales y corporativos. El incumplimiento de normativas como GDPR y NIS2 puede acarrear sanciones adicionales, especialmente si se demuestra negligencia en la gestión de los mecanismos de autenticación.

### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a estos ataques, se recomienda:

– Actualizar inmediatamente los dispositivos SonicWall SSL VPN a las últimas versiones soportadas.
– Auditar y rotar los seeds TOTP de todos los usuarios y sistemas, en especial si se sospecha de filtraciones previas.
– Habilitar y monitorizar el registro detallado de accesos VPN y MFA, buscando patrones anómalos (horarios, ubicaciones geográficas, intentos fallidos).
– Implementar controles adicionales de acceso basado en políticas (GeoIP, device trust, etc.).
– Revisar la configuración de privilegios mínimos en cuentas con acceso VPN.
– Considerar el uso de métodos MFA más robustos, como tokens hardware FIDO2 o autenticación push.
– Realizar ejercicios periódicos de Red Team para validar la resiliencia de la infraestructura perimetral.

### Opinión de Expertos

Especialistas del sector, como los equipos de análisis de amenazas de Mandiant y NCC Group, subrayan que “el éxito de estos ataques demuestra la necesidad de tratar los seeds OTP como credenciales críticas y aplicar el mismo rigor de protección que a los hashes de contraseñas”. Añaden que “las campañas de ransomware están evolucionando hacia la explotación de debilidades en la implementación de MFA, forzando a las organizaciones a adoptar estrategias de defensa en profundidad y autenticación sin contraseña”.

### Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, este incidente obliga a revisar en profundidad la cadena de confianza asociada a MFA, especialmente en soluciones legacy o mal configuradas. Los usuarios deben ser informados sobre la importancia de no reutilizar credenciales y de reportar anomalías en el acceso remoto. A nivel de cumplimiento, las empresas deben documentar exhaustivamente los cambios y acciones tomadas para mitigar potenciales impactos regulatorios.

### Conclusiones

La campaña de Akira contra SonicWall SSL VPN marca un punto de inflexión en la guerra contra el ransomware, evidenciando que la seguridad multifactor, si no se implementa y gestiona adecuadamente, puede ser vulnerable. Las organizaciones deben actuar con rapidez, reforzando la protección de seeds OTP, actualizando sus dispositivos y adoptando una estrategia de autenticación adaptativa que combine múltiples capas defensivas.

(Fuente: www.bleepingcomputer.com)