Los actores de amenazas afiliados al grupo de ransomware Akira han seguido atacando los dispositivos SonicWall para obtener acceso inicial.
Firma de ciberseguridad Rapid7 dijo observó un aumento de las intrusiones relacionadas con los dispositivos SonicWall durante el último mes, en particular siguientes informes sobre la renovada actividad del ransomware Akira desde finales de julio de 2025.
Posteriormente, SonicWall revelada la actividad de VPN SSL dirigida a sus firewalls implicó una falla de seguridad de hace un año ( CVE-2024-40766 , puntuación CVSS: 9,3), donde las contraseñas de los usuarios locales se transfirieron durante la migración y no se restablecieron.
«Estamos observando un aumento de la actividad de amenazas por parte de actores que intentan utilizar la fuerza bruta las credenciales de los usuarios», dijo la empresa apuntado . «Para mitigar el riesgo, los clientes deben habilitar el filtrado de botnets para bloquear a los actores de amenazas conocidos y asegurarse de que las políticas de bloqueo de cuentas estén habilitadas».
SonicWall también tiene instó los usuarios revisarán los grupos de usuarios predeterminados de LDAP SSL VPN y los describirán como un «punto débil crítico» si se configuran mal en el contexto de un ataque de ransomware de Akira --
Esta configuración agrega automáticamente a todos los usuarios de LDAP que se hayan autenticado correctamente a un grupo local predefinido, independientemente de su pertenencia real a Active Directory. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como una VPN con SSL, interfaces administrativas o zonas de red sin restricciones, cualquier cuenta de AD comprometida, incluso una que no necesite esos servicios de forma legítima, heredará esos permisos al instante.
Esto elude de manera efectiva los controles de acceso previstos basados en grupos de AD, lo que brinda a los atacantes una ruta directa hacia el perímetro de la red tan pronto como obtienen credenciales válidas.
Rapid7, en su alerta, dijo que también había observado a actores de amenazas acceder al portal de la Oficina Virtual alojado en los dispositivos SonicWall, lo que, en ciertas configuraciones predeterminadas, puede facilitar el acceso público y permitir a los atacantes configurar MMFA/ToTP con cuentas válidas, suponiendo que haya una exposición previa de las credenciales.
«El grupo Akira podría utilizar una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y llevar a cabo operaciones de ransomware», afirma.
Para mitigar el riesgo, se recomienda a las organizaciones que roten las contraseñas de todas las cuentas locales de SonicWall, eliminen las cuentas locales de SonicWall no utilizadas o inactivas, se aseguren de que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso del Portal de la Oficina Virtual a la red interna.
Los objetivos de Akira contra las VPN SSL de SonicWall también han sido resonado del Centro Australiano de Ciberseguridad (ACSC), que reconoció que está al tanto de que la banda de ransomware ataca a organizaciones australianas vulnerables a través de sus dispositivos.
Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de las amenazas de ransomware, que se ha cobrado 967 víctimas hasta la fecha, según la información de Ransomware.Live . Según las estadísticas compartido según CYFIRMA, Akira registró 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e INC Ransom.
De los 657 ataques de ransomware que afectaron a entidades industriales de todo el mundo y que se registraron en el segundo trimestre de 2025, las familias de ransomware Qilin, Akira y Play ocuparon los tres primeros puestos, con 101, 79 y 75 incidentes cada una, respectivamente.
Akira mantuvo «una actividad sustancial con ataques consistentes contra los sectores de fabricación y transporte mediante sofisticados despliegues de phishing y ransomware multiplataforma», según la empresa de ciberseguridad industrial Dragos dijo en un informe publicado el mes pasado.
Las infecciones recientes de ransomware de Akira también han apalancada técnicas de envenenamiento por optimización de motores de búsqueda (SEO) para ofrecer instaladores troyanos para herramientas de administración de TI populares, que luego se utilizan para eliminar el cargador de malware Bumblebee.
Luego, los ataques utilizan Bumblebee como conducto para distribuir el marco de emulación posterior a la explotación y el enfrentamiento de AdaptixC2, instalar RustDesk para un acceso remoto persistente, extraer datos e implementar el ransomware.
De acuerdo con Unidad 42 de Palo Alto Networks , la naturaleza versátil y modular de AdaptiXC2 puede permitir a los actores de amenazas ejecutar comandos, transferir archivos y realizar la exfiltración de datos en los sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para adaptarlo a sus necesidades.
Otras campañas que propagan AdaptiXC2, según la empresa de ciberseguridad, han utilizado Llamadas de Microsoft Teams imitando el servicio de asistencia de TI para engañar a los usuarios desprevenidos para que les concedan acceso remoto mediante Quick Assist y colocan un script de PowerShell que descifra y carga en la memoria la carga útil del código de shell.
«El grupo de ransomware Akira sigue un flujo de ataque estándar: obtiene el acceso inicial a través del componente SSLVPN, aumenta los privilegios a una cuenta o cuenta de servicio elevada, localiza y roba archivos confidenciales de recursos compartidos de red o servidores de archivos, elimina o detiene las copias de seguridad e implementa el cifrado de ransomware a nivel de hipervisor», afirma Rapid7.