Ransomware Akira continúa explotando vulnerabilidad de SonicWall usando herramientas legítimas

Investigadores de ciberseguridad advierten que el grupo de ransomware Akira sigue explotando una vulnerabilidad de SonicWall de hace un año (CVE-2024-40766) para obtener acceso inicial, utilizando herramientas preinstaladas y legítimas para evadir la detección. Esta vulnerabilidad, un fallo crítico de control de acceso con una puntuación CVSS de 9.3, fue parcheada en agosto de 2024, pero Akira sigue atacando sistemas que no han sido actualizados.

En los últimos tres meses, los ataques de Akira se han centrado en cuentas SSL VPN que usan contraseñas de un solo uso (OTP) como método de autenticación multifactor (MFA). Según Arctic Wolf, decenas de incidentes presentan indicadores comunes como inicios de sesión VPN desde proveedores de VPS, escaneo de redes, actividad SMB de Impacket para descubrimiento de endpoints y reconocimiento de Active Directory.

La evidencia sugiere que varios actores o afiliados podrían estar involucrados, utilizando automatización para la autenticación y aprovechando herramientas ya disponibles para el movimiento lateral y la exploración de la red. Aunque no está claro cómo Akira pudo evadir MFA, SonicWall confirmó que los dispositivos con SonicOS anteriores a la versión 7.3 “podrían haber sido vulnerables a ataques de fuerza bruta que afectaban las credenciales MFA.”

Arctic Wolf señala que este ransomware tiene tiempos de permanencia extremadamente cortos —medidos en horas en lugar de días— lo que hace crucial la detección y respuesta rápida. Monitorear inicios de sesión desde ciertos ASN relacionados con hosting y detectar actividad SMB inusual puede ayudar a interrumpir las intrusiones de manera temprana.

En un ataque analizado, Barracuda observó que los afiliados de Akira explotaron utilidades legítimas y preinstaladas, incluyendo la herramienta Datto Remote Monitoring and Management (RMM) instalada en un controlador de dominio. Los atacantes usaron la consola RMM junto con agentes de respaldo existentes para ejecutar el ataque sin activar alertas por nuevas instalaciones de software o actividad sospechosa.

Usando Datto, los atacantes ejecutaron scripts de PowerShell para obtener control total sobre el servidor, modificaron registros para desactivar funciones de seguridad y desplegaron scripts que alteraban reglas del firewall. Barracuda explica:

“Los atacantes no desplegaron malware sofisticado. En cambio, usaron herramientas existentes —Datto RMM y los agentes de respaldo— haciendo que su actividad pareciera operaciones normales de TI.”

Este enfoque permitió a los operadores de Akira mantenerse bajo el radar, demostrando cómo los grupos de ransomware cada vez más confían en software legítimo para llevar a cabo ataques evitando los mecanismos de detección tradicionales. Se recomienda a las organizaciones parchar los sistemas vulnerables de inmediato, monitorear actividad inusual y reforzar la aplicación de MFA para mitigar estas amenazas en curso.

Fuente: https://www.securityweek.com/akira-ransomwares-exploitation-of-sonicwall-vulnerability-continues