Ciberataque de Akira: cuando un ransomware exprime una vulnerabilidad de SonicWall

La pesadilla de cualquier responsable de IT acaba de materializarse con el grupo Akira, que está sacando partido de una vulnerabilidad crítica en firewalls SonicWall que, aunque tiene ya un año de antigüedad, sigue causando estragos. Y lo peor es que no están utilizando un único vector de ataque, sino potencialmente tres combinados. Vamos, que han montado la tormenta perfecta del ransomware.

La vulnerabilidad que ha puesto todo patas arriba

La vulnerabilidad en cuestión (CVE-2024-40766) tiene una puntuación CVSS de 9.3, lo que en el mundo de la ciberseguridad equivale a un «estamos en serios problemas». En esencia, se trata de un control de acceso mal implementado que permite a atacantes acceder a recursos que deberían estar protegidos y, en algunos casos, provocar que el firewall se bloquee completamente.

Lo más preocupante no es solo la gravedad de la vulnerabilidad, sino que los atacantes comenzaron a explotarla prácticamente en cuanto SonicWall publicó el aviso en agosto de 2024. Es como si hubieran estado esperando con el dedo en el gatillo.

No es solo una vulnerabilidad, son tres vectores de ataque

Según Rapid7, el grupo Akira no se está limitando a explotar la vulnerabilidad conocida. Están empleando lo que podríamos llamar un «combo letal» formado por:

1. La vulnerabilidad CVE-2024-40766 ya mencionada
2. El Grupo de Usuarios Predeterminados de SSLVPN (que permite acceso a usuarios que no deberían tenerlo)
3. El Portal de Oficina Virtual en dispositivos SonicWall, que muchas veces está configurado para acceso público

Es como si hubieran encontrado tres puertas diferentes a la misma casa, y estuvieran usando todas a la vez para asegurarse de entrar.

¿Quién está detrás de estos ataques?

Akira es un grupo de ransomware que viene operando desde al menos 2023. Su modus operandi es bastante claro y devastador:

1. Utilizan dispositivos de borde (como firewalls) para el acceso inicial
2. Escalan privilegios dentro de la red
3. Roban archivos y datos sensibles
4. Eliminan las copias de seguridad (para que no puedas recuperarte fácilmente)
5. Despliegan su ransomware, que encripta archivos a nivel de hipervisor

Una vez dentro, el secuestro de datos es prácticamente inevitable. Encriptan toda la información crítica y exigen un rescate para entregar la clave de desencriptación. Es el clásico «paga o despídete de tus datos», pero ejecutado con una sofisticación técnica alarmante.

Medidas que debes tomar ahora mismo

Si tu organización utiliza firewalls SonicWall, estos son los pasos que deberías seguir inmediatamente:

1. Actualización de sistemas

Aplica los parches lanzados por SonicWall lo antes posible. No lo dejes para mañana, hazlo hoy. La actualización es la primera y más básica línea de defensa.

2. Cambio de credenciales

SonicWall ha sido muy claro al respecto: «Recomendamos encarecidamente que todos los usuarios de firewalls Gen5 y Gen6 con cuentas SSLVPN gestionadas localmente actualicen inmediatamente sus contraseñas». También aconsejan habilitar la opción «El usuario debe cambiar la contraseña» para cada cuenta local.

3. Implementación de autenticación multifactor

Asegúrate de que el MFA (autenticación multifactor) está habilitado para todos los servicios SSLVPN. Esta capa adicional de seguridad puede ser la diferencia entre un intento de ataque fallido y un desastre total.

4. Restricción de accesos

Mitiga el riesgo asociado a los Grupos Predeterminados de SSLVPN y restringe el acceso al Portal de Oficina Virtual. Cuantas menos puertas dejes abiertas, menos posibilidades tendrán los atacantes.

El problema de las vulnerabilidades conocidas

Lo más frustrante de este caso es que estamos hablando de una vulnerabilidad que tiene un año. Esto pone de manifiesto un problema recurrente en el ámbito de la ciberseguridad: muchas organizaciones tardan demasiado en aplicar parches para vulnerabilidades conocidas.

La realidad es que los equipos de IT a menudo están sobrecargados, con recursos limitados y presionados por múltiples prioridades. Parchar sistemas puede requerir tiempo de inactividad planificado, pruebas exhaustivas y, en algunos casos, actualización de hardware obsoleto. Todo esto hace que muchas empresas posterguen las actualizaciones críticas.

Pero como vemos con el caso de Akira, el coste de no actualizar puede ser catastrófico. Un ataque de ransomware exitoso no solo implica el posible pago de un rescate, sino pérdidas operativas, daño reputacional y potenciales implicaciones legales por filtración de datos.

La falsa sensación de seguridad

Muchas empresas piensan «a nosotros no nos va a pasar», pero los grupos como Akira no discriminan por tamaño o sector. Buscan vulnerabilidades y las explotan sistemáticamente. En este caso, están usando una combinación de vectores de ataque que maximiza sus posibilidades de éxito, atacando dispositivos que por su propia naturaleza están expuestos a Internet.

Lecciones para el futuro

Este nuevo repunte de ataques nos deja algunas lecciones claras:

1. Actualiza a tiempo: Prioriza la aplicación de parches de seguridad, especialmente para vulnerabilidades con puntuaciones CVSS altas.

2. Capa defensas: No dependas de una sola medida de seguridad. Implementa un enfoque multi-capa que incluya parches, autenticación fuerte, monitorización y segmentación de redes.

3. Plan de respuesta: Desarrolla y prueba un plan de respuesta a incidentes que incluya escenarios de ransomware. Saber qué hacer en los primeros minutos de un ataque puede marcar la diferencia.

4. Copias de seguridad aisladas: Mantén copias de seguridad en sistemas aislados a los que un atacante no pueda acceder fácilmente desde tu red principal.

Mientras los grupos como Akira siguen evolucionando sus tácticas, la única constante es la necesidad de mantenerse vigilante. Las vulnerabilidades conocidas son como puertas abiertas con un cartel luminoso que dice «entra aquí». No dejes que tu organización sea la próxima víctima por no cerrar a tiempo las puertas que ya sabemos que están comprometidas.