akira el ransomware que explota sonicwall mientras tu lees este articulo

Akira: el ransomware que explota SonicWall mientras tú lees este artículo

PorCarlos Ribeiro

El mundo del ransomware evoluciona tan rápido que a veces ni siquiera nos enteramos de las amenazas hasta que ya han cruzado la puerta de casa. Y lo más preocupante es que no siempre necesitan forzar la cerradura: a veces simplemente aprovechan la llave que dejamos olvidada bajo el felpudo. Esto es exactamente lo que está haciendo el grupo Akira con una vulnerabilidad de SonicWall que, aunque ya tiene parche, sigue siendo un coladero para estos ciberdelincuentes.

La vulnerabilidad que no termina de cerrarse

La historia es tan simple como escalofriante. Desde hace tres meses asistimos a un aumento preocupante de ataques que explotan la vulnerabilidad CVE-2024-40766 en los cortafuegos de SonicWall. Estamos hablando de un fallo con una puntuación CVSS de 9.3 (casi el máximo de gravedad) que permite un control de acceso inadecuado y que fue parcheado en agosto de 2024.

Lo más inquietante es que, pese a existir el parche, los ataques no han hecho más que aumentar. ¿Por qué? Porque muchas organizaciones siguen usando versiones antiguas de SonicOS (anteriores a la 7.3) que no han sido actualizadas. Y donde hay una brecha, hay un ciberdelincuente dispuesto a colarse.

El bypass de la autenticación multifactor

Si pensabas que la autenticación multifactor (MFA) te protegería, tengo malas noticias. Akira ha encontrado la manera de sortear específicamente las cuentas VPN SSL que utilizan contraseñas de un solo uso (OTP) como segunda capa de seguridad.

Arctic Wolf, la empresa de ciberseguridad que ha destapado esta campaña, no tiene claro exactamente cómo logran saltarse la MFA, pero SonicWall admitió en agosto que los dispositivos con versiones antiguas «podrían ser susceptibles a ataques de fuerza bruta que afectan a las credenciales MFA». Es como si tuvieras un sistema de alarma en casa que los ladrones han aprendido a desactivar pulsando repetidamente el timbre.

Táctica de ninja: usar tus propias herramientas contra ti

Lo más astuto de Akira no es cómo entra, sino lo que hace una vez dentro. En vez de instalar software malicioso que podría hacer saltar todas las alarmas, estos ciberdelincuentes prefieren utilizar herramientas legítimas que ya están instaladas en los sistemas:

Datto RMM: de aliado a traidor

Un caso analizado por Barracuda muestra cómo los afiliados de Akira aprovecharon la herramienta de monitorización remota Datto RMM, previamente instalada en un controlador de dominio. Es como si un ladrón, en vez de traer sus propias ganzúas, utilizara las llaves que guardas en el cajón de tu escritorio.

«Se centraron en la consola de administración de la herramienta RMM y la usaron, junto con varios agentes de copia de seguridad instalados previamente, para implementar el ataque sin activar una alerta de seguridad», explica Barracuda. Básicamente, el atacante se comportaba exactamente como lo haría un administrador de sistemas legítimo realizando tareas rutinarias de respaldo.

PowerShell y lo que ya estaba disponible

Una vez con acceso a Datto, ejecutaron un script de PowerShell para obtener control total del servidor. A partir de ahí, modificaron registros para evadir la detección, desactivaron características de seguridad y dejaron caer archivos que alteraban las reglas del cortafuegos.

Todo esto sin ninguna herramienta externa que pudiera levantar sospechas. Es el equivalente a entrar en una joyería haciéndose pasar por el personal de limpieza y usar las propias herramientas de la tienda para abrir la caja fuerte.

La velocidad: el otro as bajo la manga

Si hay algo verdaderamente aterrador en estos ataques es su velocidad. Arctic Wolf señala que el tiempo desde la intrusión hasta el cifrado completo de datos se mide en horas, no en días. Es uno de los tiempos de permanencia más cortos que han registrado para ataques de ransomware.

«La ventana para una respuesta efectiva contra esta amenaza es excepcionalmente estrecha», advierten. Y no exageran. Imagina que un ladrón pudiera entrar en tu casa, localizar todos tus objetos de valor, empaquetarlos y llevárselos en menos tiempo del que tardas en volver del supermercado.

Señales que delatan la intrusión

Si quieres tener alguna posibilidad de detectar este tipo de ataques antes de que sea demasiado tarde, Arctic Wolf recomienda vigilar:

  • Inicios de sesión inesperados desde ASNs relacionados con proveedores de hosting
  • Actividad de Impacket SMB en la red (una herramienta que utilizan para descubrir endpoints)
  • Descubrimiento activo del Directorio Activo

Al identificar estas señales temprano, las intrusiones pueden interrumpirse antes de que los atacantes tengan tiempo de secuestrar tus datos con el ransomware.

La multiplicación de actores y métodos

Los rastros recopilados de estas intrusiones sugieren algo potencialmente más preocupante: no estamos hablando de un único grupo de atacantes, sino posiblemente de múltiples actores o afiliados bajo el paraguas de Akira. Además, hay evidencias de que están utilizando automatización para la autenticación y herramientas de uso común para el reconocimiento y el movimiento lateral.

Es como si hubieran montado una franquicia del crimen cibernético, donde cada «sucursal» puede operar con cierta autonomía pero siguiendo el mismo modelo de negocio: secuestrar datos y pedir rescate.

¿Qué puedes hacer para protegerte?

Aunque la situación parece desalentadora, hay medidas que las organizaciones pueden tomar:

  1. Actualizar ahora mismo todos los dispositivos SonicWall a la versión 7.3 o superior.
  2. Revisar las soluciones de MFA en uso, especialmente aquellas basadas en OTP que parecen ser más vulnerables.
  3. Monitorizar constantemente inicios de sesión inusuales y actividades sospechosas en la red.
  4. Implementar un control de acceso más estricto para herramientas legítimas como Datto RMM y otros agentes de monitorización.
  5. Establecer copias de seguridad aisladas que no puedan ser comprometidas por el mismo vector de ataque.

El ataque de Akira nos recuerda una lección importante: en seguridad informática, no se trata solo de construir murallas más altas, sino de vigilar con más atención las puertas que ya tenemos y, sobre todo, de no olvidar que a veces el enemigo puede utilizar nuestras propias herramientas contra nosotros.

Este tipo de amenazas de secuestro de datos seguirán evolucionando, pero entender cómo operan es el primer paso para defendernos eficazmente. Y mientras tanto, quizá sea momento de revisar esas configuraciones de SonicWall que llevan meses esperando ser actualizadas.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *