Los dispositivos VPN de Sonicwall SSL se han convertido en el objetivo de los ataques de ransomware Akira como parte de un nuevo aumento en la actividad observada a fines de julio de 2025.
“En las intrusiones revisadas, se observaron múltiples intrusiones previas al ransomware en un corto período de tiempo, cada uno con camino a VPN a través de VPN de Sonicwall SSL”, dijo el investigador de los laboratorios de Wolf Arctic Julian Tuin en un crónica.
La compañía de ciberseguridad sugirió que los ataques podrían estar explotando una equivocación de seguridad aún no detectada en los electrodomésticos, lo que significa una equivocación de día cero, legado que algunos de los incidentes afectaron a los dispositivos Sonicwall totalmente parecidos. Sin retención, la posibilidad de ataques basados en credenciales para el camino original no se ha descartado.
El aumento en los ataques que involucran a Sonicwall SSL VPN se registró por primera vez el 15 de julio de 2025, aunque Arctic Wolf dijo que ha observado inicios de VPN maliciosos similares desde octubre de 2024, lo que sugiere esfuerzos sostenidos para apuntar a los dispositivos.
“Se observó un intervalo corto entre el camino original de la cuenta SSL VPN y el oculto de ransomware”, dijo. “En contraste con los inicios de sesión de VPN legítimos que generalmente se originan en redes operadas por proveedores de servicios de Internet de cuadrilla ancha, los grupos de ransomware a menudo utilizan el alojamiento de servidores privados virtuales para la autenticación de VPN en entornos comprometidos”.
Las consultas enviadas a SonicWall para obtener más detalles sobre la actividad no obtuvieron una respuesta hasta la publicación de este artículo. Como mitigaciones, se aconseja a las organizaciones que consideren deshabilitar el servicio VPN de SonicWall SSL hasta que se ponga a disposición y desplegada un parche, dada la probabilidad de una vulnerabilidad de día cero.
Otras mejores prácticas incluyen hacer cumplir la autenticación multifactor (MFA) para camino remoto, eliminar cuentas de becario de firewall locales inactivas o no utilizadas y la futuro higiene de contraseña.
A principios de 2024, se estima que los actores de ransomware de Akira han extorsionado aproximadamente $ 42 millones en ingresos ilícitos a posteriori de atacar a más de 250 víctimas. Surgió por primera vez en marzo de 2023.
Las estadísticas compartidas por Check Point muestran que Akira fue el segundo comunidad más activo en el segundo trimestre de 2025 a posteriori de Qilin, reclamando 143 víctimas durante el período de tiempo.
“Akira Ransomware mantiene un enfoque específico en Italia, con el 10% de sus víctimas de compañías italianas en comparación con el 3% en el ecosistema genérico”, dijo la compañía de seguridad cibernética.
