La empresa de ciberseguridad Huntress advirtió el viernes sobre un «compromiso generalizado» de los dispositivos VPN SSL de SonicWall para aceptar a múltiples entornos de clientes.
«Los actores de amenazas se están autenticando rápidamente en múltiples cuentas a través de dispositivos comprometidos», dijo. «La velocidad y escalera de estos ataques implican que los atacantes parecen controlar credenciales válidas en área de fuerza bruta».
Se dice que una parte importante de la actividad comenzó el 4 de octubre de 2025, con más de 100 cuentas VPN SSL de SonicWall en 16 cuentas de clientes que se vieron afectadas. En los casos investigados por Huntress, las autenticaciones en los dispositivos SonicWall se originaron a partir de la dirección IP 202.155.8(.)73.
La compañía señaló que en algunos casos, los actores de amenazas no participaron en más acciones adversas en la red y se desconectaron luego de un corto período de tiempo. Sin bloqueo, en otros casos, se descubrió que los atacantes realizaban actividades de escaneo de red e intentaban aceptar a numerosas cuentas locales de Windows.
La divulgación se produce poco luego de que SonicWall reconociera que un incidente de seguridad resultó en la exposición no autorizada de archivos de copia de seguridad de la configuración del firewall almacenados en las cuentas de MySonicWall. La infracción, según la última puesta al día, afecta a todos los clientes que han utilizado el servicio de copia de seguridad en la aglomeración de SonicWall.
«Los archivos de configuración del firewall almacenan información confidencial que los actores de amenazas pueden usar para explotar y obtener entrada a la red de una ordenamiento», dijo Arctic Wolf. «Estos archivos pueden proporcionar a los actores de amenazas información crítica, como configuración de sucesor, conjunto y dominio, configuración de registro y DNS, y certificados».
Huntress, sin bloqueo, señaló que no hay evidencia en este momento que vincule la violación con el fresco aumento en los compromisos.
Teniendo en cuenta que las credenciales confidenciales se almacenan internamente de las configuraciones de firewall, se recomienda a las organizaciones que utilizan el servicio de respaldo de configuración en la aglomeración MySonicWall que restablezcan sus credenciales en dispositivos de firewall activos para evitar el entrada no calificado.
Incluso se recomienda restringir la filial de WAN y el entrada remoto cuando sea posible, revocar cualquier esencia API externa que toque el firewall o los sistemas de filial, monitorear los inicios de sesión en examen de signos de actividad sospechosa y aplicar la autenticación multifactor (MFA) para todos los administradores y cuentas remotas.
La divulgación se produce en medio de un aumento en la actividad de ransomware dirigida a dispositivos de firewall SonicWall para el entrada original, y los ataques aprovechan fallas de seguridad conocidas (CVE-2024-40766) para violar las redes de destino para implementar el ransomware Akira.
Darktrace, en un mensaje publicado esta semana, dijo que detectó una intrusión dirigida a un cliente estadounidense ignorado a finales de agosto de 2025 que implicó escaneo de red, registro, movimiento adjunto, ascensión de privilegios utilizando técnicas como UnPAC the hash y exfiltración de datos.
«Uno de los dispositivos comprometidos fue identificado más tarde como un servidor de red privada posible (VPN) de SonicWall, lo que sugiere que el incidente fue parte de la campaña más amplia de ransomware Akira dirigida a la tecnología SonicWall», dijo.
«Esta campaña de los actores del ransomware Akira subraya la importancia crítica de permanecer prácticas de parches actualizadas. Los actores de amenazas continúan explotando vulnerabilidades previamente reveladas, no solo de día cero, lo que resalta la falta de una vigilancia continua incluso luego de que se publiquen los parches».
