Aumento de ataques de ransomware Akira: objetivos en VPN SonicWall vulnerables y cuentas de Microsoft 365
Introducción
En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de un notable incremento en los ataques de ransomware, especialmente protagonizados por el grupo Akira, que ha intensificado su actividad explotando vulnerabilidades en dispositivos VPN SonicWall y comprometiendo cuentas de Microsoft 365. Según los datos recopilados por los analistas y sistemas de inteligencia de amenazas de Barracuda Managed XDR, estos vectores están siendo aprovechados de forma masiva, generando serias preocupaciones entre los equipos de seguridad corporativos y acrecentando la presión sobre los responsables de proteger los sistemas críticos de las organizaciones.
Contexto del Incidente o Vulnerabilidad
El ransomware Akira, activo desde el primer trimestre de 2023, ha evolucionado rápidamente hasta convertirse en una de las amenazas más relevantes del panorama actual, con más de 250 víctimas confirmadas y un impacto económico estimado en decenas de millones de euros. En el último mes, se ha observado un patrón claro: los operadores de Akira han orientado sus campañas hacia infraestructuras que presentan una doble debilidad. Por un lado, dispositivos de acceso remoto VPN SonicWall con vulnerabilidades conocidas no parcheadas (especialmente en versiones anteriores a la 10.2.1.7-34). Por otro, cuentas corporativas de Microsoft 365 protegidas de forma insuficiente, a menudo comprometidas mediante técnicas de phishing, password spraying o explotación de MFA débil.
Detalles Técnicos
Identificadores y vulnerabilidades explotadas
– CVE-2019-7481, CVE-2020-5135 y CVE-2021-20016: Vulnerabilidades críticas en SonicWall SSL-VPN y SMA, que permiten ejecución remota de código o eludir la autenticación. La explotación de estas vulnerabilidades permite a los atacantes obtener acceso inicial al entorno corporativo.
– Vectores de ataque adicionales: Ataques de fuerza bruta, password spraying, y explotación de credenciales obtenidas en brechas previas.
Tácticas, Técnicas y Procedimientos (TTP) (MITRE ATT&CK)
– Initial Access (TA0001): Explotación de servicios públicos y credenciales robadas.
– Execution (TA0002): Uso de scripts Python para desplegar herramientas de persistencia y carga de payloads maliciosos.
– Lateral Movement (TA0008): Utilización de herramientas como Cobalt Strike o la ejecución de scripts personalizados para moverse lateralmente una vez dentro de la red.
– Exfiltration (TA0010) y Impact (TA0040): Cifrado de archivos críticos y exfiltración de datos sensibles antes de la demanda de rescate.
Indicadores de Compromiso (IoC)
– Dominios y direcciones IP asociados a Akira y Cobalt Strike.
– Hashes de scripts Python maliciosos detectados en endpoints.
– Actividad anómala en logs de acceso a VPN y Microsoft 365 (inicios de sesión desde ubicaciones inusuales, cambios de configuración, etc.).
Impacto y Riesgos
El impacto de estos ataques es significativo: organizaciones afectadas han experimentado interrupciones operativas, pérdida de datos críticos y, en algunos casos, filtraciones de información confidencial que comprometen la reputación y la continuidad del negocio. Según datos recientes, el 65% de las empresas afectadas por Akira carecían de una política efectiva de parcheo para sus dispositivos perimetrales, y un 40% no tenía implementada autenticación multifactor robusta en Microsoft 365. Los rescates exigidos han oscilado entre 300.000 y 2 millones de euros, y en el 25% de los incidentes se ha producido filtración pública de datos.
El incumplimiento de normativas como el Reglamento General de Protección de Datos (GDPR) y la inminente entrada en vigor de la Directiva NIS2 agravan el riesgo legal y financiero para las organizaciones afectadas.
Medidas de Mitigación y Recomendaciones
1. Parches críticos: Actualizar inmediatamente todos los dispositivos SonicWall a versiones superiores a la 10.2.1.7-34 y monitorizar la publicación de nuevos boletines de seguridad.
2. Hardening de accesos remotos: Deshabilitar servicios VPN no utilizados, restringir accesos por IP y desplegar autenticación multifactor robusta (preferiblemente basada en FIDO2 o tokens hardware).
3. Protección de Microsoft 365: Revisar configuraciones de seguridad, bloquear autenticaciones legacy, establecer alertas de acceso anómalo y aplicar políticas de acceso condicional.
4. Monitorización avanzada: Implementar sistemas EDR/XDR con capacidad de detección de scripts Python maliciosos y herramientas como Cobalt Strike.
5. Simulacros de respuesta: Realizar ejercicios de Red Team y simulacros de ransomware para mejorar la resiliencia organizacional.
Opinión de Expertos
José Luis Martínez, CISO de una empresa del IBEX 35, destaca: “El aumento de ataques contra VPN y Microsoft 365 refleja un cambio de paradigma: la superficie de ataque real está en los accesos remotos y la identidad digital. La automatización y los scripts en Python permiten a los grupos como Akira escalar ataques en tiempo récord”.
Por su parte, María Rodríguez, analista senior en un SOC europeo, advierte: “La detección temprana es clave. El uso de TTPs similares a los de Cobalt Strike y la explotación de credenciales válidas exige una monitorización constante y una respuesta muy ágil”.
Implicaciones para Empresas y Usuarios
Las organizaciones deben revisar en profundidad sus infraestructuras de acceso remoto y sus políticas de gestión de identidades. La tendencia a la explotación de cuentas en la nube y dispositivos perimetrales vulnerables persistirá, especialmente a la luz de la creciente digitalización y el trabajo híbrido. Para los usuarios, la concienciación en ciberseguridad y el uso de contraseñas robustas y MFA son ya requisitos imprescindibles.
Conclusiones
El resurgimiento de Akira y su foco en VPN SonicWall y Microsoft 365 subraya la necesidad urgente de reforzar la seguridad perimetral y de identidad en las empresas. Los equipos de ciberseguridad deben anticiparse, aplicar parches de forma proactiva y fortalecer sus capacidades de detección y respuesta ante amenazas cada vez más sofisticadas y automatizadas.
(Fuente: www.cybersecuritynews.es)