Los dispositivos VPN de Sonicwall SSL han estado sujetos a ataques de ransomware Akira como parte de un nuevo aumento en la actividad observada a fines de julio de 2025.
«Las intrusiones revisadas han observado múltiples intrusiones de ransomware en un corto período de tiempo, cada uno, incluido el acceso a VPN a través de SonicWall SSL VPN», dijo Julian Tuin, investigador de Arctic Wolf Labs, en un informe.
Las compañías de ciberseguridad han sugerido que el ataque podría estar explotando los defectos de seguridad aún determinados en el aparato. Sin embargo, no se descarta la posibilidad de ataques basados en la calificación para el acceso temprano.
El aumento de los ataques, incluidos los VPN de Sonicwall SSL, se registró por primera vez el 15 de julio de 2025, pero Arctic Wolf ha estado observando inicios de VPN maliciosos similares hasta octubre de 2024, lo que sugiere esfuerzos sostenidos para atacar dispositivos.
«Se observó un intervalo corto entre el acceso inicial de la cuenta de VPN SSL y el cifrado de ransomware», dijo. «En contraste con los inicios de sesión de VPN legítimos, típicamente derivado de las redes administradas por proveedores de servicios de Internet de banda ancha, los grupos de ransomware utilizan el alojamiento de servidores privados virtuales para la autenticación de VPN en entornos comprometidos».
Para obtener más información sobre la actividad, la consulta enviada a SonicWall no obtuvo una respuesta hasta la publicación de este artículo. Como mitigación, se alienta a las organizaciones a considerar deshabilitar el servicio VPN de SonicWall SSL hasta que los parches estén disponibles y desplegados, teniendo en cuenta las posibles vulnerabilidades del día cero.
Otras mejores prácticas incluyen la implementación de la autenticación multifactorial (MFA) para el acceso remoto, la eliminación de cuentas de usuarios de firewall locales inactivos o no utilizados e higiene de contraseña.
A principios de 2024, se estima que el actor de ransomware de Akira lo obligó a ganar alrededor de $ 42 millones en ingresos ilegales después de atacar a más de 250 víctimas. Apareció por primera vez en marzo de 2023.
Las estadísticas compartidas por Checkpoint muestran que Akira fue el segundo grupo más activo después de Qilin en el segundo trimestre de 2025, reclamando 143 víctimas durante el período.
«Achira Ransomware mantiene un enfoque especial en Italia, con el 10% de las víctimas de las compañías italianas que lo comparan con el 3% del ecosistema general», dijo la compañía de seguridad cibernética.
Source link
