Los actores de amenaza afiliados al Grupo de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el acceso inicial.
Firma de ciberseguridad Rapid7 dicho Observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente siguiente informes Acerca de la actividad renovada de ransomware Akira desde finales de julio de 2025.
Sonicwall posteriormente reveló La actividad de SSL VPN dirigida a sus firewalls involucraba una falla de seguridad de un año (CVE-2024-40766Puntuación CVSS: 9.3) donde las contraseñas de los usuarios locales se trasladaron durante la migración y no se reiniciaron.
«Estamos observando una mayor actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», la compañía anotado. «Para mitigar el riesgo, los clientes deben permitir el filtrado de Botnet para bloquear a los actores de amenaza conocidos y garantizar que las políticas de bloqueo de la cuenta estén habilitadas».
Sonicwall también impuesto Los usuarios revisen los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si mal configurado en el contexto de un ataque de ransomware Akira –
Esta configuración agrega automáticamente cada usuario LDAP autenticado exitosamente a un grupo local predefinido, independientemente de su membresía real en Active Directory. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin necesidad legítima de esos servicios, heredará instantáneamente esos permisos.
Esto omite efectivamente los controles de acceso grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas.
Rapid7, en su alerta, dijo que también ha observado a los actores de amenaza que acceden al portal de oficina virtual alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden facilitar el acceso público y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa.
«El grupo Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y realizar operaciones de ransomware», dijo.
Para mitigar el riesgo, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso de portal de oficina virtual a la red interna.
La orientación de Akira de SonicWall SSL VPNS también ha sido resonado por el Centro de Seguridad Cibernética Australiana (ACSC), que reconoció que es consciente de la pandilla de ransomware que golpea a las organizaciones australianas vulnerables a través de los dispositivos.
Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la fecha, según la información de Ransomware.live. Según estadísticas compartido Por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e Inc Ransom.
De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente.
Akira mantuvo «actividad sustancial con un objetivo constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma,» Compañía de seguridad cibernética industrial Dragos dicho en un informe publicado el mes pasado.
Las recientes infecciones por ransomware de Akira también han apalancado Técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para administrar instaladores troyanizados para herramientas populares de gestión de TI, que luego se utilizan para soltar el cargador de malware Bumblebee.
Los ataques luego utilizan Bumblebee como un conducto para distribuir el marco de emulación y emulación adversario de adaptixc2, instalar Rustdesk para el acceso remoto persistente, exfiltrado e implementar el ransomware.
De acuerdo a Palo Alto Networks Unidad 42La naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar exfiltración de datos en sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para satisfacer sus necesidades.
Otras campañas que propagan adaptixc2, dijo la compañía de seguridad cibernética, ha utilizado Microsoft Teams Llama imitando la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen acceso remoto a través de asistencia rápida y suelte un script de PowerShell que descifra y carga en la memoria de la carga útil de shellcode.
«El Grupo de Ransomware Akira sigue un flujo de ataque estándar: obtener acceso inicial a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, localizar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la cifra de ransomware en el nivel de hipervisor de red», dijo Rapid77.
Fuente