La empresa de ciberseguridad Huntress advirtió el viernes sobre un «compromiso generalizado» de los dispositivos VPN SSL de SonicWall para acceder a múltiples entornos de clientes.
«Los actores de amenazas se están autenticando rápidamente en múltiples cuentas a través de dispositivos comprometidos», dicho. «La velocidad y escala de estos ataques implican que los atacantes parecen controlar credenciales válidas en lugar de fuerza bruta».
Se dice que una parte importante de la actividad comenzó el 4 de octubre de 2025, con más de 100 cuentas VPN SSL de SonicWall en 16 cuentas de clientes que se vieron afectadas. En los casos investigados por Huntress, las autenticaciones en los dispositivos SonicWall se originaron desde la dirección IP 202.155.8[.]73.
La compañía señaló que en algunos casos, los actores de amenazas no participaron en más acciones adversas en la red y se desconectaron después de un corto período de tiempo. Sin embargo, en otros casos, se descubrió que los atacantes realizaban actividades de escaneo de red e intentaban acceder a numerosas cuentas locales de Windows.
La revelación llega poco después de SonicWall. admitido que un incidente de seguridad resultó en la exposición no autorizada de archivos de respaldo de configuración del firewall almacenados en cuentas MySonicWall. La infracción, según la última actualización, afecta todos los clientes que han utilizado el servicio de copia de seguridad en la nube de SonicWall.
«Los archivos de configuración del firewall almacenan información confidencial que los actores de amenazas pueden aprovechar para explotar y obtener acceso a la red de una organización», Arctic Wolf dicho. «Estos archivos pueden proporcionar a los actores de amenazas información crítica, como configuración de usuario, grupo y dominio, configuración de registro y DNS, y certificados».
Huntress, sin embargo, señaló que no hay evidencia en este momento que vincule la violación con el reciente aumento en los compromisos.
Teniendo en cuenta que las credenciales confidenciales se almacenan dentro de las configuraciones de firewall, se recomienda a las organizaciones que utilizan el servicio de respaldo de configuración en la nube MySonicWall que restablezcan sus credenciales en dispositivos de firewall activos para evitar el acceso no autorizado.
También se recomienda restringir la administración de WAN y el acceso remoto cuando sea posible, revocar cualquier clave API externa que toque el firewall o los sistemas de administración, monitorear los inicios de sesión en busca de signos de actividad sospechosa y aplicar la autenticación multifactor (MFA) para todos los administradores y cuentas remotas.
La revelación se produce en medio de una aumentar en actividad ransomware dirigidos a dispositivos de firewall SonicWall para el acceso inicial, y los ataques aprovechan fallas de seguridad conocidas (CVE-2024-40766) para violar las redes objetivo para implementar el ransomware Akira.
Darktrace, en un informe publicado esta semana, dijo que detectó una intrusión dirigida a un cliente estadounidense anónimo a finales de agosto de 2025 que implicó escaneo de red, reconocimiento, movimiento lateral, escalada de privilegios utilizando técnicas como UnPAC the hash y exfiltración de datos.
«Uno de los dispositivos comprometidos fue identificado más tarde como un servidor de red privada virtual (VPN) de SonicWall, lo que sugiere que el incidente fue parte de la campaña más amplia de ransomware Akira dirigida a la tecnología SonicWall», dicho.
«Esta campaña de los actores del ransomware Akira subraya la importancia crítica de mantener prácticas de parches actualizadas. Los actores de amenazas continúan explotando vulnerabilidades previamente reveladas, no solo de día cero, lo que resalta la necesidad de una vigilancia continua incluso después de que se publiquen los parches».
Fuente