Los actores de amenaza que pertenecen al grupo de ransomware Akira continúan dirigiéndose a dispositivos SonicWall para el acceso inicial.
La compañía de seguridad cibernética Rapid7 dijo que observó después de un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente informes sobre la actividad actualizada de ransomware Akira desde finales de julio de 2025.
Sonicwall luego reveló que la actividad de SSL VPN dirigida al firewall estuvo involucrada con un defecto de seguridad desde hace un año (CVE-2024-40766, puntaje CVSS: 9.3).
«Estamos observando un aumento en la actividad de amenazas de los actores que intentan mejorar las calificaciones del usuario», dijo la compañía. «Para mitigar el riesgo, los clientes deben bloquear a los actores de amenaza conocidos y permitir el filtrado de Botnet para garantizar que las políticas de bloqueo de la cuenta estén habilitadas».
Sonicwall también alienta a los usuarios a verificar el grupo de usuarios predeterminado de VPN LDAP SSL y lo describe como una «debilidad crítica» si se malinterpreta en el contexto de los ataques de ransomware Akira –
Esta configuración agrega automáticamente a todos los usuarios LDAP autenticados con éxito a un grupo local predefinido, independientemente de su membresía real en Active Directory. Si ese grupo predeterminado tiene acceso a servicios confidenciales como SSL VPN, interfaces de gestión y zonas de red ilimitadas, la cuenta de anuncios comprometidos heredará inmediatamente esos permisos, incluso si no requieren legítimamente esos servicios.
Esto evita el control de acceso basado en el grupo AD, proporcionando una ruta directa al perímetro de la red tan pronto como un atacante obtiene credenciales válidas.
En la alerta, Rapid7 también observó a los actores de amenaza que acceden a los portales de oficinas virtuales alojados por el dispositivo SonicWall. Esto permite que ciertas configuraciones predeterminadas promuevan el acceso público y permitan a los atacantes configurar MMFA/TOTP con cuentas habilitadas.
«El Grupo Akira puede usar una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y llevar a cabo operaciones de ransomware», dijo.
Para mitigar el riesgo, las organizaciones recomiendan hacer contraseñas en todas las cuentas locales de SonicWall, eliminar cuentas locales de SonicWall no utilizadas o inactivas, configurar políticas de MFA/TOTP y restringir el acceso al portal de oficina virtual a redes internas.
La orientación de VPN de SonicWall SSL de Akira también se refleja en el Centro de Ciberseguridad Australiana (ACSC), reconociendo que las pandillas de ransomware son conscientes de las organizaciones australianas vulnerables a través de sus dispositivos.
Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta ahora, luego de información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en julio de 2025, convirtiéndose en el tercer grupo más activo después de Qilin e Inc Ransom.
De los 657 ataques de ransomware que afectaron a las entidades industriales de todo el mundo marcadas en el segundo trimestre de 2025, las familias de ransomware Qilin, Akira y Play ganaron los tres tragamonedas principales que informaron 101, 79 y 75 incidentes respectivamente.
Akira ha mantenido una actividad sustancial con una focalización constante en el sector de fabricación y transporte a través del despliegue de phishing sofisticado y ransomware multiplataforma «, dijo Dragos de seguridad cibernética industrial en un informe publicado el mes pasado.
Las infecciones recientes de ransomware Achira se utilizan para aprovechar la tecnología de adicción de optimización de motores de búsqueda (SEO) para proporcionar instaladores de Troiler a herramientas populares de gestión de TI, y luego para soltar cargadores de malware Bumblebee.
El ataque utiliza Bumblebee como un conducto para distribuir marcos de emulación después de las explosiones de adaptixc2 e instala Rustdesk para implementar acceso remoto persistente, exfiltrados datos y ransomware.
Según la Unidad 42 de Palo Alto Networks, la naturaleza multipropósito y modular de AdaptIXC2 permite a los actores de amenaza ejecutar comandos, transferir archivos y realizar la eliminación de datos en los sistemas infectados. El hecho de que también sea de código abierto significa que su enemigo puede personalizarlo para satisfacer sus necesidades.
Según la compañía de seguridad cibernética, otras campañas que propagan adaptixc2 usan llamadas de los equipos de Microsoft para engañar a los usuarios desprevenidos para que abandonen los scripts de PowerShell que permiten el acceso remoto a través de la asistencia rápida y la carga de la carga de shellcode en la memoria.
«El Grupo de Ransomware Akira sigue el flujo de ataque estándar: obtenga acceso inicial a través del componente SSLVPN, aumente los privilegios, busque y robe archivos confidenciales de acciones de red o servidores de archivos, elimine o detenga las copias de seguridad, e implementen la implementación de ransomware a nivel de hipervasador.
Source link
