**El ransomware Akira explota vulnerabilidad crítica en firewalls SonicWall: amenazas crecientes para entornos empresariales**
—
### Introducción
En las últimas semanas, se ha detectado una oleada de ataques altamente dirigidos por parte del grupo de ransomware Akira, centrados en organizaciones que utilizan dispositivos SonicWall con una vulnerabilidad crítica no parcheada. Este vector de ataque pone en jaque la seguridad perimetral de numerosas empresas, evidenciando la importancia de una gestión proactiva de vulnerabilidades y la actualización constante de dispositivos de seguridad.
—
### Contexto del Incidente
El incidente tiene su origen en una vulnerabilidad identificada en 2023 en los firewalls SonicWall, ampliamente desplegados en entornos corporativos para la segmentación de redes y la protección frente a amenazas externas. A pesar de que el fabricante liberó parches de seguridad en su momento, numerosos dispositivos siguen en producción sin haber aplicado las actualizaciones necesarias, quedando expuestos a ataques remotos.
El ransomware Akira, conocido por su enfoque en la doble extorsión y su capacidad para evadir soluciones tradicionales de defensa, ha incorporado este bug a su arsenal, dirigiendo campañas activas contra organizaciones de diversos sectores, especialmente aquellas con infraestructuras críticas y datos sensibles.
—
### Detalles Técnicos
La vulnerabilidad explotada, identificada como **CVE-2022-22274**, afecta a los dispositivos SonicWall SMA 100 series y permite la ejecución remota de código (RCE) sin necesidad de autenticación previa. El exploit, publicado en diversos foros y repositorios underground, aprovecha una debilidad en la gestión de peticiones HTTP para inyectar comandos maliciosos directamente en el sistema operativo subyacente.
– **Vectores de ataque:** El acceso inicial suele lograrse mediante el escaneo masivo de dispositivos expuestos en Internet, identificando aquellos con versiones vulnerables del firmware (versiones anteriores a la 10.2.1.7-34sv). El exploit permite la ejecución de payloads personalizados, facilitando la implantación de backdoors y el despliegue del ransomware.
– **TTPs (MITRE ATT&CK):**
– Initial Access: Exploit Public-Facing Application (T1190)
– Execution: Command and Scripting Interpreter (T1059)
– Persistence: Web Shell (T1505.003)
– Lateral Movement: Remote Services (T1021)
– Impact: Data Encrypted for Impact (T1486)
– **IoCs (Indicadores de Compromiso):** Se han observado conexiones a dominios y direcciones IP asociadas al C2 del grupo Akira, así como la creación de archivos y registros característicos (`akira_readme.txt`, procesos inusuales vinculados a PowerShell y cmd.exe).
– **Herramientas empleadas:** El grupo utiliza frameworks como Metasploit para la explotación inicial y Cobalt Strike como plataforma de post-explotación y movimiento lateral, además de herramientas propias para cifrado y exfiltración de datos.
—
### Impacto y Riesgos
El impacto de estos ataques es considerable, ya que la explotación exitosa de la vulnerabilidad otorga a los actores un control total sobre el firewall, permitiendo el acceso y manipulación del tráfico de red, la desactivación de protecciones y la exfiltración de credenciales. El cifrado de información crítica y la amenaza de publicación de datos robados forman parte del esquema de doble extorsión habitual de Akira.
Según fuentes del sector, se estima que el 12% de los dispositivos SonicWall expuestos públicamente siguen siendo vulnerables, lo que pone en riesgo a cientos de organizaciones globalmente. Las pérdidas económicas pueden oscilar entre decenas de miles y varios millones de euros por incidente, especialmente en sectores regulados por GDPR y NIS2, donde las sanciones por brechas de datos son sustanciales.
—
### Medidas de Mitigación y Recomendaciones
– **Actualización inmediata:** Aplicar los últimos parches de seguridad proporcionados por SonicWall para todas las versiones afectadas.
– **Restricción de acceso:** Limitar el acceso administrativo a los firewalls únicamente desde IPs internas o mediante VPNs seguras.
– **Supervisión de logs:** Revisar los registros de eventos en busca de accesos no autorizados y patrones anómalos.
– **Despliegue de EDR/NDR:** Implementar soluciones avanzadas de detección y respuesta para identificar actividades posteriores a la explotación.
– **Copia de seguridad offsite:** Mantener backups cifrados y desconectados de la red principal, probando regularmente los procedimientos de restauración.
– **Plan de respuesta a incidentes:** Actualizar y ensayar planes de contingencia específicos para ransomware y brechas de dispositivos perimetrales.
—
### Opinión de Expertos
Analistas de ciberseguridad como Raúl Siles (Dinosec) y miembros del CCN-CERT han alertado sobre la peligrosidad de dejar sin parchear dispositivos expuestos en Internet: “El perímetro ya no es sólo el cortafuegos, sino todo el ecosistema de dispositivos conectados. La falta de gestión proactiva de vulnerabilidades sigue siendo el talón de Aquiles de muchas organizaciones”, señalan.
—
### Implicaciones para Empresas y Usuarios
La explotación de vulnerabilidades en dispositivos de seguridad supone una grave amenaza, ya que permite a los atacantes operar desde un punto de máxima confianza dentro de la red. Para las empresas, esto implica la necesidad de revisar la cadena de suministro tecnológica y asegurar la correcta configuración y actualización de todos los componentes críticos. El cumplimiento de normativas como GDPR y NIS2 requiere no sólo la protección de datos, sino la demostración de diligencia en la gestión de riesgos tecnológicos.
—
### Conclusiones
El ataque del grupo Akira a través de la vulnerabilidad en SonicWall es un recordatorio severo de la importancia de la gestión de parches y la defensa en profundidad. Las organizaciones deben priorizar la actualización de sus dispositivos perimetrales y adoptar un enfoque proactivo en la monitorización y respuesta ante incidentes. La colaboración entre equipos de seguridad, proveedores y CERTs nacionales será clave para reducir la superficie de ataque y mitigar el impacto de futuras campañas de ransomware.
(Fuente: www.darkreading.com)