La empresa de ciberseguridad Huntress advirtió el viernes sobre el «compromiso generalizado» de los dispositivos VPN SSL de SonicWall para acceder a múltiples entornos de clientes.
«Los actores de amenazas se están autenticando rápidamente en varias cuentas en los dispositivos comprometidos», dice dijo . «La velocidad y la escala de estos ataques implican que los atacantes parecen controlar las credenciales válidas en lugar de utilizar la fuerza bruta».
Se dice que una parte importante de la actividad comenzó el 4 de octubre de 2025, y que más de 100 cuentas de VPN SSL de SonicWall de 16 cuentas de clientes se vieron afectadas. En los casos investigados por Huntress, las autenticaciones de los dispositivos SonicWall se originaron en la dirección IP 202.155.8 [.] 73.
La empresa señaló que, en algunos casos, los actores de la amenaza no emprendieron más acciones adversas en la red y se desconectaron después de un breve período de tiempo. Sin embargo, en otros casos, se ha descubierto que los atacantes estaban escaneando la red e intentando acceder a numerosas cuentas locales de Windows.
La revelación se produce poco después de SonicWall reconocido que un incidente de seguridad provocó la exposición no autorizada de los archivos de respaldo de la configuración del firewall almacenados en las cuentas de MySonicWALL. La violación, según la última actualización, afecta todos los clientes que han utilizado el servicio de copia de seguridad en la nube de SonicWall.
«Los archivos de configuración del firewall almacenan información confidencial que los actores de amenazas pueden aprovechar para explotar la red de una organización y obtener acceso a ella», dijo Arctic Wolf dijo . «Estos archivos pueden proporcionar a los actores de amenazas información crítica, como la configuración de usuarios, grupos y dominios, la configuración de DNS y registro y los certificados».
Sin embargo, Huntress señaló que no hay pruebas en este momento que vinculen la violación con el reciente aumento de los compromisos.
Teniendo en cuenta que las credenciales confidenciales se almacenan en las configuraciones del firewall, se recomienda a las organizaciones que utilizan el servicio de respaldo de la configuración en la nube de MySonicWALL que restablezcan sus credenciales en los dispositivos de firewall activos para evitar el acceso no autorizado.
También se recomienda restringir la administración de la WAN y el acceso remoto siempre que sea posible, revocar cualquier clave de API externa que toque el firewall o los sistemas de administración, supervisar los inicios de sesión para detectar señales de actividad sospechosa y aplicar la autenticación multifactor (MFA) en todas las cuentas remotas y de administrador.
La revelación se produce en medio de un incrementar en actividad de ransomware apuntar a los dispositivos de firewall de SonicWall para el acceso inicial, y los ataques aprovechan las fallas de seguridad conocidas ( CVE-2024-40766 ) para violar las redes objetivo para implementar el ransomware Akira.
Darktrace, en un informe publicado esta semana, dijo que había detectado una intrusión dirigida a un cliente estadounidense anónimo a finales de agosto de 2025 que implicaba el escaneo de la red, el reconocimiento, el movimiento lateral, la escalada de privilegios mediante técnicas como UnPac the hash y la exfiltración de datos.
«Uno de los dispositivos comprometidos fue identificado más tarde como un servidor de red privada virtual (VPN) de SonicWall, lo que sugiere que el incidente formaba parte de la campaña más amplia de ransomware de Akira dirigida a la tecnología SonicWall», dijo .
«Esta campaña de los actores del ransomware de Akira subraya la importancia fundamental de mantener actualizadas las prácticas de aplicación de parches. Los responsables de las amenazas siguen explotando las vulnerabilidades descubiertas anteriormente, y no solo las de día cero, lo que pone de manifiesto la necesidad de mantener una vigilancia continua incluso después de que se publiquen los parches».