Los dispositivos VPN SSL de SonicWall se han convertido en el objetivo de ataques de ransomware Akira como parte de un nuevo aumento de actividad observado a finales de julio de 2025.
"En las intrusiones analizadas, se observaron múltiples intrusiones previas al ransomware en un corto período de tiempo, cada una involucrando acceso a VPN a través de VPN SSL de SonicWall", declaró Julian Tuin, investigador de Arctic Wolf Labs, en un informe.
La empresa de ciberseguridad sugirió que los ataques podrían estar explotando una falla de seguridad aún no determinada en los dispositivos, lo que significaría una vulnerabilidad Zero-Day, dado que algunos de los incidentes afectaron a dispositivos SonicWall con parches completos. Sin embargo, no se ha descartado la posibilidad de ataques basados en credenciales para el acceso inicial.
El repunte de ataques que involucran VPN SSL de SonicWall se registró por primera vez el 15 de julio de 2025, aunque Arctic Wolf afirmó haber observado inicios de sesión maliciosos similares en VPN desde octubre de 2024, lo que sugiere esfuerzos constantes para atacar los dispositivos.
Se observó un breve intervalo entre el acceso inicial a la cuenta VPN SSL y el cifrado del ransomware, según se indicó. "A diferencia de los inicios de sesión legítimos en VPN, que suelen provenir de redes operadas por proveedores de servicios de internet de banda ancha, los grupos de ransomware suelen utilizar servidores privados virtuales (VPS) para la autenticación de VPN en entornos comprometidos".
Como medida de mitigación, se recomienda a las organizaciones que consideren deshabilitar el servicio VPN SSL de SonicWall hasta que se publique e implemente un parche, dada la probabilidad de una vulnerabilidad de día cero.
Otras prácticas recomendadas incluyen la implementación de la autenticación multifactor (MFA) para el acceso remoto, la eliminación de cuentas de usuario del firewall local inactivas o sin uso y el mantenimiento de la higiene de contraseñas.
Fuente: THN