Una probable vulnerabilidad de día cero en las VPN y electrodomésticos de Firewall de acceso móvil (SMA) de Sonicwall se está explotando activamente en la naturaleza, lo que permite a los atacantes omitir la autenticación multifactor (MFA) y desplegar ransomware a las pocas horas de la violación inicial.
Las empresas de seguridad, incluidas Huntress, Arctic Wolf y Sophos, han informado un aumento reciente de los incidentes de alta severidad dirigidos a estos dispositivos, lo que indica una amenaza crítica y continua para las organizaciones que confían en ellos.
Los ataques siguen un libro de jugadas rápido y consistente, comenzando con una violación del aparato de Sonicwall. Los investigadores de seguridad de Huntress, que han estado respondiendo a una ola de estos incidentes desde finales de julio de 2025, informan que la velocidad y el éxito de los ataques, incluso contra los entornos con MFA habilitados, apuntan fuertemente a una vulnerabilidad sin parpadear.
Línea de tiempo de cuentas comprometidas
Una vez que los actores de amenaza ganan una posición inicial, se mueven rápidamente para comprometer toda la red. Se ha observado que los atacantes aprovechan inmediatamente las cuentas de servicio excesivamente privilegiadas, como LDAP o cuentas administrativas utilizadas por el dispositivo SonicWall, para obtener acceso administrativo.
Para garantizar un acceso persistente, implementan herramientas como túneles con calado y opensh, creando efectivamente una puerta trasera en la red comprometida.
Con privilegios elevados, los atacantes proceden con una combinación de scripts automatizados y técnicas prácticas para moverse lateralmente. Se les ha visto utilizando WMI y PowerShell Remoting para navegar por la red, volcar las credenciales de las bases de datos de copia de seguridad de VEEAM y exfiltrar la base de datos de Active Directory (NTDS.DIT) para el agrietamiento de contraseña fuera de línea.
Antes de implementar la carga útil final, los atacantes desmantelan metódicamente las defensas de seguridad. Utilizan herramientas de Windows incorporadas para deshabilitar Microsoft Defender y modificar las reglas de firewall para permitir su propio acceso remoto.
La etapa final implica eliminar copias de sombra de volumen para evitar una fácil recuperación del sistema, seguida inmediatamente por la implementación de lo que se ha identificado como ransomware Akira.
La artesanía varía entre ataques, lo que sugiere que los actores de múltiples amenazas pueden estar explotando la misma vulnerabilidad con diferentes conjuntos de herramientas.
Los métodos observados incluyen el uso de herramientas legítimas como el escáner IP avanzado y Winrar para el reconocimiento y la estadificación de datos, junto con los binarios vivos de la tierra (LOLBins) y los scripts personalizados. Los atacantes también han sido atrapados creando nuevas cuentas de usuarios para mantener su presencia en la red.
En respuesta a esta amenaza activa, los expertos en seguridad están emitiendo recomendaciones urgentes. Huntress aconseja a las organizaciones que deshabiliten su acceso VPN de SonicWall SSL inmediatamente hasta que se lance un parche oficial.
Si deshabilitar la VPN no es factible para las operaciones comerciales, el acceso debe estar severamente restringido a una lista blanca de direcciones IP de confianza conocidas.
Además, es fundamental para las cuentas de servicios de auditoría y garantizar que operen bajo el principio de menor privilegio, ya que las cuentas de alto privilegio comprometidas son un elemento clave de la cadena de ataque. También se insta a las organizaciones a buscar los indicadores publicados de compromiso (COI) dentro de sus entornos para detectar cualquier signo de violación.
Direcciones IP del indicador de typedescription o Ejempleattacker42.252.99 (.) 59
45.86.208 (.) 240
77.247.126 (.) 239
104.238.205 (.) 105
104.238.220 (.) 216
181.215.182 (.) 64
193.163.194 (.) 7
193.239.236 (.) 149
194.33.45 (.) 155 Malicious Ejecutablesw.exe (Akira Ransomware)
win.exe (ransomware)
C: \ ProgrammData \ Winrar.exe (Winrar)
C: \ ProgramData \ openssha.msi (Installer OpenSSH)
C: \ Archivos de programa \ openssh \ sshd.exe (SSH Exfil)
C: \ ProgramData \ SSH \ CloudFlared.exe (Túnel CloudFlare)
C: \ Archivos de programa \ filezilla FTP Client \ fzsftp.exe (Filezilla FTP)
C: \ ProgramData \ 1.Bat (Script desconocido)
C: \ ProgramData \ 2.Bat (Script desconocido) Hash (SHA-256) D080F553C9B1276317441894EC6861573FA64FB1FAE46165A55502E782B1614D (W.EXE) ASN/CIDR INFRASTRUCTUREAS24863-LINT-NET-LATIN 45.242.96.0/22
AS62240 – Clouvider – 45.86.208.0/22
AS62240 – Clouvider – 77.247.126.0/24
AS23470 – Reliebilese LLC – 104.238.204.0/22
AS23470 – Reliebilese LLC – 104.238.220.0/22
AS174-Cogent-174-181.215.182.0/24
AS62240 – Clouvider – 193.163.194.0/24
AS62240 – Clouvider – 193.239.236.0/23
AS62240 – Clouvider – 194.33.45.0/24 CREATED USUARIO CONOCIONES Backupsql
LockadInpenswords usado superpass123 $
MSNC? 42da
Vrt83g $%esto
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
