SonicWall ha implicado formalmente a actores de amenazas patrocinados por el estado como detrás de la violación de seguridad de septiembre que condujo a la exposición no autorizada de archivos de copia de seguridad de la configuración del firewall.
«La actividad maliciosa, llevada a cabo por un actor de amenazas patrocinado por el estado, se limitó al acceso no autorizado a archivos de respaldo en la nube desde un entorno de nube específico mediante una llamada API», dijo la compañía en un comunicado publicado esta semana. «El incidente no está relacionado con los actuales ataques globales de ransomware Akira a firewalls y otros dispositivos periféricos».
SonicWall, sin embargo, no reveló qué país estaba detrás del incidente ni proporcionó ningún indicador que lo vincule con ningún actor o grupo de amenazas conocido.
La divulgación se produce casi un mes después de que la compañía dijera que una parte no autorizada accedió a los archivos de copia de seguridad de la configuración del firewall para todos los clientes que utilizaron el servicio de copia de seguridad en la nube. En septiembre, afirmó que los actores de amenazas accedieron a los archivos de respaldo almacenados en la nube de menos del 5% de sus clientes.
SonicWall, que contrató los servicios de Mandiant, propiedad de Google, para investigar la infracción, dijo que no afectó sus productos ni su firmware, ni a ninguno de sus otros sistemas. También dijo que ha adoptado varias acciones correctivas recomendadas por Mandiant para fortalecer su red y su infraestructura de nube, y que continuará mejorando su postura de seguridad.
«A medida que los actores de amenazas respaldados por estados nacionales apuntan cada vez más a los proveedores de seguridad perimetral, especialmente aquellos que prestan servicios a PYMES y entornos distribuidos, SonicWall se compromete a fortalecer su posición como líder para los socios y sus clientes PYMES en la primera línea de esta escalada», agregó.
Se recomienda a los clientes de SonicWall que inicien sesión en MySonicWall.com, verifiquen sus dispositivos y restablezcan las credenciales de los servicios afectados, si los hubiera. La compañía también lanzó una herramienta de análisis en línea y una herramienta de restablecimiento de credenciales para identificar servicios que requieren reparación y realizar tareas de seguridad relacionadas con las credenciales, respectivamente.