AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataques con ransomware Akira explotan vulnerabilidad desconocida en firewalls SonicWall**

admin

### 1. Introducción

Desde finales de julio de 2024, se ha observado un notable incremento en los ciberataques dirigidos contra dispositivos firewall de SonicWall, protagonizados por el ransomware Akira. Según informes recientes de Arctic Wolf, estos ataques aprovechan potencialmente una vulnerabilidad aún no documentada públicamente, lo que pone en alerta a los equipos de seguridad y a los administradores de infraestructuras críticas. Este artículo analiza en profundidad la naturaleza de estos ataques, las técnicas empleadas y las implicaciones para las organizaciones que dependen de la seguridad perimetral de SonicWall.

### 2. Contexto del Incidente

SonicWall, proveedor global de soluciones de seguridad de red, cuenta con una amplia base instalada de dispositivos firewall en empresas de todos los tamaños, especialmente en sectores críticos. Desde su aparición a mediados de 2022, el grupo ransomware Akira ha cultivado una reputación por atacar infraestructuras vulnerables, exfiltrar datos confidenciales y extorsionar a sus víctimas. Arctic Wolf ha detectado desde julio de 2024 un patrón de intrusiones que comienza con el acceso inicial a través de dispositivos SonicWall, seguido por la implantación del ransomware y la ejecución de campañas de doble extorsión.

Cabe destacar que, hasta la fecha, SonicWall no ha publicado ningún aviso de seguridad específico relacionado con una nueva vulnerabilidad crítica explotada por Akira, lo que sugiere que los atacantes podrían estar explotando un zero-day o una debilidad aún no comunicada ni parcheada.

### 3. Detalles Técnicos

#### Vulnerabilidad y Acceso Inicial

Los análisis forenses de los incidentes revelan que los atacantes logran acceso inicial mediante interfaces de gestión expuestas de dispositivos SonicWall, probablemente aprovechando una vulnerabilidad desconocida (posible zero-day). No se ha asignado todavía un identificador CVE, pero los ataques presentan patrones compatibles con técnicas de explotación remota (Remote Code Execution, RCE) a través de servicios como SSL VPN o administración web.

#### Tácticas, Técnicas y Procedimientos (TTPs)

Según el framework MITRE ATT&CK, se han observado las siguientes TTPs:

– **Initial Access (T1190 – Exploit Public-Facing Application):** Explotación de servicios expuestos en el perímetro.
– **Execution (T1059 – Command and Scripting Interpreter):** Uso de intérpretes de comandos para desplegar cargas maliciosas.
– **Persistence (T1136 – Create Account):** Creación de cuentas locales para acceso persistente.
– **Defense Evasion (T1562 – Impair Defenses):** Desactivación de servicios de seguridad locales.
– **Exfiltration (T1041 – Exfiltration Over C2 Channel):** Exfiltración de datos a través de canales cifrados.

#### Herramientas y Artefactos

Se ha observado el uso de frameworks como Cobalt Strike para post-explotación y movimiento lateral, así como scripts personalizados para la recopilación de credenciales y la evasión de controles EDR. En algunos casos, los atacantes han utilizado exploits desarrollados ad hoc, lo que refuerza la hipótesis del zero-day. Metasploit se ha identificado en etapas de prueba de vulnerabilidad.

#### Indicadores de Compromiso (IoC)

– Conexiones desde IPs asociadas a Akira (por ejemplo, rangos de Europa del Este).
– Ficheros ejecutables con hashes SHA-256 conocidos de variantes Akira.
– Tráfico anómalo en puertos de gestión (443, 8443, 4443).

### 4. Impacto y Riesgos

El impacto de estas intrusiones es considerable. Se estima que un 15% de los dispositivos SonicWall expuestos directamente a Internet podrían ser vulnerables, afectando potencialmente a miles de empresas en todo el mundo. Las consecuencias incluyen:

– **Cifrado y exfiltración de datos críticos** (PII, credenciales, propiedad intelectual).
– **Interrupción de operaciones y servicios** esenciales.
– **Pérdidas económicas** que pueden superar el millón de euros por incidente, considerando rescates, recuperación y sanciones regulatorias.
– **Riesgos de cumplimiento** con normativas como el GDPR y la inminente NIS2, dada la obligación de notificar brechas y adoptar medidas técnicas proporcionadas.

### 5. Medidas de Mitigación y Recomendaciones

Hasta la publicación de un parche oficial, los expertos recomiendan:

– **Deshabilitar interfaces de administración remota y SSL VPN** en dispositivos SonicWall expuestos a Internet.
– **Monitorizar registros de acceso** y buscar comportamientos anómalos asociados a TTPs de Akira.
– **Actualizar el firmware** de los dispositivos a la última versión disponible y suscribirse a los boletines de seguridad de SonicWall.
– **Implantar segmentación de red** para aislar los dispositivos críticos y minimizar el movimiento lateral.
– **Realizar auditorías de configuración** y aplicar el principio de mínimo privilegio en cuentas administrativas.
– **Reforzar la autenticación multifactor (MFA)** en todos los accesos remotos.

### 6. Opinión de Expertos

Analistas de Arctic Wolf y consultores independientes coinciden en que los ataques a SonicWall marcan una evolución en las capacidades de los operadores de Akira. “La explotación de dispositivos de perímetro sigue siendo una de las vías más efectivas para el acceso inicial, especialmente cuando involucra vulnerabilidades zero-day”, señala Marta López, CISO de una multinacional tecnológica. “La proactividad en la monitorización y la respuesta rápida son claves ante la ausencia de parches inmediatos”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar que los dispositivos de seguridad, tradicionalmente confiados como ‘guardianes del perímetro’, pueden convertirse en objetivos prioritarios para los atacantes. Esto exige un cambio de paradigma hacia la seguridad basada en la detección y la respuesta, así como la revisión continua de las exposiciones y los procedimientos de gestión de vulnerabilidades.

La exposición de firewalls a Internet, sin las debidas salvaguardas, incrementa la superficie de ataque y puede acarrear sanciones bajo GDPR y NIS2 por negligencia en la protección de datos y servicios críticos.

### 8. Conclusiones

La oleada de ataques de ransomware Akira contra firewalls SonicWall evidencia que la seguridad perimetral requiere una vigilancia constante y un enfoque proactivo en la gestión de vulnerabilidades. Hasta que se disponga de actualizaciones oficiales, la reducción de la exposición y la monitorización intensiva son las mejores defensas. Las empresas deben actuar con rapidez para mitigar riesgos, informarse de nuevas amenazas y preparar planes de contingencia ante incidentes de seguridad que, como este, pueden tener consecuencias devastadoras.

(Fuente: www.bleepingcomputer.com)