Los actores de amenaza afiliados al Rama de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el golpe auténtico.
La firma de ciberseguridad Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente posteriormente de informes sobre la renovada actividad de ransomware de Akira desde finales de julio de 2025.
Luego, SonicWall reveló que la actividad de SSL VPN dirigida a sus firewalls involucraba una error de seguridad de un año (CVE-2024-40766, puntaje CVSS: 9.3) donde las contraseñas de usuarios locales se llevaron durante la migración y no se restablecen.
“Estamos observando una maduro actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta”, señaló la compañía. “Para mitigar el aventura, los clientes deben permitir el filtrado de Botnet para encerrar a los actores de amenaza conocidos y avalar que las políticas de interrupción de la cuenta estén habilitadas”.
Sonicwall igualmente ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un “punto débil crítico” si está mal configurado en el contexto de un ataque de ransomware Akira – –
Esta configuración agrega automáticamente cada heredero LDAP autenticado exitosamente a un comunidad almacén predefinido, independientemente de su membresía actual en Active Directory. Si ese comunidad predeterminado tiene golpe a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin indigencia legítima de esos servicios, heredará instantáneamente esos permisos.
Esto omite efectivamente los controles de golpe grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas.
Rapid7, en su alerta, dijo que igualmente ha observado a los actores de amenaza que acceden al portal de oficina imaginario alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden allanar el golpe conocido y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa.
“El comunidad Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener golpe no acreditado y realizar operaciones de ransomware”, dijo.
Para mitigar el aventura, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el golpe de portal de oficina imaginario a la red interna.
La orientación de Akira de SonicWall SSL VPNS igualmente ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos.
Desde su primicia en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la data, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer comunidad más activo posteriormente de Qilin e Inc Ransom.
De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente.
Akira mantuvo “una actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing y despliegues de ransomware multiplataforma”, dijo Dragos de la compañía de seguridad cibernética industrial en un crónica publicado el mes pasado.
Las recientes infecciones por ransomware de Akira igualmente han laborioso las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para mandar instaladores troyanizados para herramientas populares de dirección de TI, que luego se utilizan para soltar el cargador de malware Bumblebee.
Los ataques luego utilizan Bumblebee como un conducto para distribuir el ámbito de lucha y lucha adversario de adaptixc2, instalar Rustdesk para el golpe remoto persistente, exfiltrado e implementar el ransomware.
Según la Mecanismo 42 de Palo Suspensión Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que igualmente sea de código hendido significa que los adversarios pueden personalizarlo para satisfacer sus deyección.
Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen golpe remoto a través de donación rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode.
“El Rama de Ransomware Akira sigue un flujo de ataque típico: obtener golpe auténtico a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, determinar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la guarismo de ransomware en el nivel del hipervisor
