Una sospecha de vulnerabilidad de día cero en los dispositivos de firewall de Sonicwall que el grupo de ransomware Akira está explotando activamente. La falla permite a los atacantes obtener acceso inicial a las redes corporativas a través de la función SSL VPN de Sonicwall, lo que lleva a la posterior implementación de ransomware.
A fines de julio de 2025, los investigadores de seguridad observaron un aumento significativo en los ataques de ransomware que aprovechan los dispositivos Sonicwall. La evidencia apunta fuertemente a una exploit de día cero, ya que las intrusiones tuvieron éxito incluso en firewalls totalmente parcheados.
En algunos casos, los atacantes pasaron por alto la autenticación multifactor (MFA), lo que indica un vector de ataque sofisticado que evita las medidas de seguridad estándar.
El reciente aumento en la actividad, que comenzó tan pronto como el 15 de julio de 2025, se ha atribuido a la pandilla de ransomware Akira. Este grupo se ha observado utilizando credenciales comprometidas para iniciar sesión en SonicWall SSL VPN, a menudo desde direcciones IP asociadas con proveedores de alojamiento de servidor privado virtual (VPS) en lugar de servicios de Internet residenciales o comerciales típicos.
El tiempo entre la violación de VPN inicial y el despliegue de ransomware es notablemente corto, dando a las víctimas poco tiempo para reaccionar. Si bien se han observado los inicios de sesión de VPN maliciosos desde al menos octubre de 2024, la última campaña muestra una escalada marcada.
Dada la alta probabilidad de una vulnerabilidad sin parpadeo, el lobo ártico ha emitido Una recomendación principal para que las organizaciones deshabiliten el servicio VPN de SonicWall SSL inmediatamente hasta que se desarrolle y despliegue un parche oficial. Se recomienda este paso drástico para evitar el acceso inicial y el posterior compromiso de la red.
Además de esta medida crítica, los expertos en seguridad han reiterado las mejores prácticas generales para endurecer la seguridad del firewall. SonicWall recomienda habilitar servicios de seguridad como protección de botnet, hacer cumplir MFA en todas las cuentas de acceso remoto y practicar una buena higiene de contraseña con actualizaciones periódicas.
Además, se aconseja a los administradores que eliminen las cuentas de usuario locales inactivas o no utilizadas, particularmente aquellas con acceso a VPN, para reducir la superficie de ataque.
También se alienta a las organizaciones a bloquear los intentos de autenticación de VPN que se originan en una lista de números de sistema autónomos relacionados con el hosting específicos (ASNS) que se han asociado con esta campaña maliciosa.
Si bien estas redes no son inherentemente maliciosas, su uso para la autenticación de VPN es muy sospechoso en este contexto.
Arctic Wolf Labs continúa su investigación sobre la campaña y compartirá más detalles a medida que estén disponibles. Mientras tanto, se insta a las organizaciones que usan firewalls de Sonicwall a revisar su postura de seguridad y tomar medidas inmediatas para mitigar esta amenaza activa.
Los electrodomésticos al final de la vida de Sonicwall de la serie SMA 100 se destacan una vez más después de que los investigadores descubrieron una campaña encubierta que combina una sospecha de vulnerabilidad de ejecución de código remoto de cero cero con una puerta trasera sofisticada conocida como Overstep.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
