Se tiene un aumento significativo en las campañas del ransomware Akira ha llamado la atención de expertos en ciberseguridad tras una serie de ataques dirigidos a dispositivos SonicWall que ejecutan firmware no actualizado. Los atacantes están aprovechando configuraciones expuestas y debilidades en la autenticación de estos firewalls, comprometiendo redes empresariales sin requerir interacción del usuario final.
El grupo detrás de Akira ha evolucionado desde su aparición en 2023, enfocándose inicialmente en entornos Windows y más recientemente en plataformas Linux, ampliando así su superficie de ataque. En estos nuevos incidentes, se detectó que los actores explotan el acceso remoto a la interfaz de administración de SonicWall, particularmente si no se encuentra protegida con autenticación multifactor (MFA).
Tras el acceso inicial, los atacantes desactivan funciones de seguridad, extraen credenciales, lateralizan dentro de la red y finalmente ejecutan el cifrado de archivos críticos. Como es habitual en campañas de doble extorsión, las víctimas enfrentan tanto la pérdida operativa como el riesgo de filtración de datos sensibles si no pagan el rescate.
Lo alarmante de esta oleada es que no se basa en vulnerabilidades nuevas, sino en malas prácticas de seguridad: firmware desactualizado, contraseñas débiles o la exposición innecesaria de la administración web al internet público.
dato curioso
El equipo de CISA y otras agencias han reportado que Akira continúa formando alianzas con otros grupos de ciberdelincuencia para compartir herramientas y técnicas de intrusión, lo que sugiere que su infraestructura y capacidades seguirán ampliándose. Organizaciones sin monitoreo proactivo podrían estar ya comprometidas sin saberlo.
Recomendaciones
- Actualizar firmware: Verificar y aplicar de inmediato las últimas versiones del firmware de SonicWall. Las versiones antiguas contienen fallos ya conocidos que los atacantes están explotando activamente.
- Restringir el acceso remoto: Deshabilitar el acceso a la administración del firewall desde internet. Si es indispensable, debe realizarse mediante VPN con acceso restringido.
- Habilitar autenticación multifactor (MFA): Aplicar MFA en todos los accesos administrativos al firewall y sistemas críticos, incluyendo acceso al portal de administración de SonicWall.
- Supervisión activa: Implementar alertas para accesos no autorizados y escaneos a la interfaz web de los dispositivos. El monitoreo continuo permite detectar actividad sospechosa antes de que ocurra el cifrado.
