Los actores de amenaza afiliados al Clan de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el camino auténtico.
La firma de ciberseguridad Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente a posteriori de informes sobre la renovada actividad de ransomware de Akira desde finales de julio de 2025.
Seguidamente, SonicWall reveló que la actividad de SSL VPN dirigida a sus firewalls involucraba una descompostura de seguridad de un año (CVE-2024-40766, puntaje CVSS: 9.3) donde las contraseñas de usuarios locales se llevaron durante la migración y no se restablecen.
«Estamos observando una decano actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», señaló la compañía. «Para mitigar el aventura, los clientes deben permitir el filtrado de Botnet para cercar a los actores de amenaza conocidos y certificar que las políticas de interrupción de la cuenta estén habilitadas».
Sonicwall igualmente ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si está mal configurado en el contexto de un ataque de ransomware Akira – –
Esta configuración agrega automáticamente cada legatario LDAP autenticado exitosamente a un género almacén predefinido, independientemente de su membresía positivo en Active Directory. Si ese género predeterminado tiene camino a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin exigencia legítima de esos servicios, heredará instantáneamente esos permisos.
Esto omite efectivamente los controles de camino grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas.
Rapid7, en su alerta, dijo que igualmente ha observado a los actores de amenaza que acceden al portal de oficina supuesto alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden proveer el camino divulgado y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa.
«El género Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener camino no competente y realizar operaciones de ransomware», dijo.
Para mitigar el aventura, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el camino de portal de oficina supuesto a la red interna.
La orientación de Akira de SonicWall SSL VPNS igualmente ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos.
Desde su iniciación en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la aniversario, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer género más activo a posteriori de Qilin e Inc Ransom.
De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente.
Akira mantuvo «actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma», dijo Dragos de la compañía de ciberseguridad industrial en un noticia publicado el mes pasado.
Las recientes infecciones por ransomware de Akira igualmente han laborioso las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para dirigir instaladores troyanizados para herramientas populares de trámite de TI, que luego se utilizan para soltar el cargador de malware Bumblebee.
Los ataques luego utilizan Bumblebee como un conducto para distribuir el situación de rivalidad y rivalidad adversario de adaptixc2, instalar Rustdesk para el camino remoto persistente, exfiltrado e implementar el ransomware.
Según la Pelotón 42 de Palo Suspensión Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que igualmente sea de código libre significa que los adversarios pueden personalizarlo para satisfacer sus deposición.
Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen camino remoto a través de concurrencia rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode.
«El Clan de Ransomware Akira sigue un flujo de ataque tipificado: obtener camino auténtico a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, emplazar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la signo de ransomware en el nivel de hipervisor de red», dijo Rapid77.
