Los dispositivos VPN de Sonicwall SSL se han convertido en el objetivo de los ataques de ransomware Akira como parte de un nuevo aumento en la actividad observada a fines de julio de 2025.
«En las intrusiones revisadas, se observaron múltiples intrusiones previas al ransomware en un corto período de tiempo, cada uno con acceso a VPN a través de VPN de Sonicwall SSL», dijo el investigador de los laboratorios de Wolf Arctic Julian Tuin en un informe.
La compañía de ciberseguridad sugirió que los ataques podrían estar explotando una falla de seguridad aún no detectada en los electrodomésticos, lo que significa una falla de día cero, dado que algunos de los incidentes afectaron a los dispositivos Sonicwall totalmente parecidos. Sin embargo, la posibilidad de ataques basados en credenciales para el acceso inicial no se ha descartado.
El aumento en los ataques que involucran a Sonicwall SSL VPN se registró por primera vez el 15 de julio de 2025, aunque Arctic Wolf dijo que ha observado inicios de VPN maliciosos similares desde octubre de 2024, lo que sugiere esfuerzos sostenidos para apuntar a los dispositivos.
«Se observó un intervalo corto entre el acceso inicial de la cuenta SSL VPN y el cifrado de ransomware», dijo. «En contraste con los inicios de sesión de VPN legítimos que generalmente se originan en redes operadas por proveedores de servicios de Internet de banda ancha, los grupos de ransomware a menudo utilizan el alojamiento de servidores privados virtuales para la autenticación de VPN en entornos comprometidos».
Las consultas enviadas a SonicWall para obtener más detalles sobre la actividad no obtuvieron una respuesta hasta la publicación de este artículo. Como mitigaciones, se aconseja a las organizaciones que consideren deshabilitar el servicio VPN de SonicWall SSL hasta que se ponga a disposición y desplegada un parche, dada la probabilidad de una vulnerabilidad de día cero.
Otras mejores prácticas incluyen hacer cumplir la autenticación multifactor (MFA) para acceso remoto, eliminar cuentas de usuario de firewall locales inactivas o no utilizadas y la siguiente higiene de contraseña.
A principios de 2024, se estima que los actores de ransomware de Akira han extorsionado aproximadamente $ 42 millones en ingresos ilícitos después de atacar a más de 250 víctimas. Surgió por primera vez en marzo de 2023.
Las estadísticas compartidas por Check Point muestran que Akira fue el segundo grupo más activo en el segundo trimestre de 2025 después de Qilin, reclamando 143 víctimas durante el período de tiempo.
«Akira Ransomware mantiene un enfoque especial en Italia, con el 10% de sus víctimas de compañías italianas en comparación con el 3% en el ecosistema general», dijo la compañía de seguridad cibernética.