La operación de ransomware Akira está ejecutando ataques exitosos contra SonicWall SSL VPNs, logrando el acceso incluso cuando las cuentas tienen activada la Autenticación Multifactor (MFA/OTP). Investigadores sugieren que los atacantes podrían haber comprometido las semillas OTP (seeds), lo que les permitiría generar tokens válidos y anular la protección de MFA.
Detalles Técnicos y Modus Operandi de Akira
El ataque representa una evolución en las tácticas de Akira, pasando de explotar una vulnerabilidad conocida a anular los controles de acceso más estrictos:
- Explotación Inicial y Credenciales Antiguas: Aunque el malware inicialmente aprovechó la vulnerabilidad CVE-2024-40766 (fallo de control de acceso en SonicWall SSL VPN) para robar credenciales, los actores siguen utilizando esas credenciales previamente robadas para acceder, incluso después de que los dispositivos han sido parcheados. Esto subraya la importancia crítica de rotar contraseñas después de un incidente.
- Omisión del MFA/OTP: Se ha observado que los atacantes intentan múltiples códigos OTP antes de obtener el acceso. Esto sugiere que han comprometido las semillas OTP almacenadas, permitiéndoles generar tokens válidos y eludir el MFA.
- Movimiento Rápido y Reconocimiento: Una vez dentro, los atacantes actúan con gran velocidad (a menudo en los primeros 5 minutos):
- Exploración: Usan herramientas como Impacket para conexiones SMB e intentan inicios de sesión por RDP.
- Enumeración: Enumeran objetos de Active Directory con herramientas especializadas como BloodHound o dsquery.
- Evasión Avanzada de Endpoint (BYOVD): Akira emplea la técnica “Bring Your Own Vulnerable Driver” (BYOVD), aprovechando drivers legítimos vulnerables (como rwdrv.sys) para cargar drivers maliciosos (churchill_driver.sys). El objetivo es desactivar las protecciones de endpoint (EDR/antivirus) y garantizar que el ransomware se ejecute sin interrupciones.
Recomendaciones
- Reconfiguración Total de Credenciales y MFA
- Rotación de Contraseñas: Cambiar todas las contraseñas de las cuentas VPN que hayan podido ser afectadas.
- Reconfigurar Semillas OTP: Es crucial reconfigurar y restablecer las semillas OTP/MFA. Esto implica invalidar las antiguas y generar nuevas semillas para todos los usuarios.
- Parcheo y Endurecimiento del Firmware
- Actualización Verificada: Verificar que todos los dispositivos SonicWall estén en las últimas versiones de firmware (incluyendo la 7.3.0 o superior), donde se han introducido mitigaciones. No asumir que las versiones “recomendadas” son inmunes a vectores de ataque no descubiertos o a fallos en la configuración.
- Monitoreo Estricto y Restricción de Acceso
- Alertas de Acceso Anómalo: Configurar alertas inmediatas para:
- Múltiples intentos OTP fallidos seguidos de un acceso exitoso.
- Actividad anómala justo después de un inicio de sesión VPN (ej., escaneo interno rápido, uso de herramientas de enumeración como BloodHound).
