Desde julio de 2025, el ransomware Akira ha puesto en jaque a empresas de todo el mundo al aprovechar vulnerabilidades en los SonicWall SSL VPNs. Lo preocupante es que, incluso con contraseñas y autenticación multifactor (MFA) activada, los atacantes están logrando acceder a las redes corporativas. Esto no solo expone datos críticos, también demuestra cómo la sofisticación del cibercrimen avanza más rápido que muchas medidas de defensa tradicionales.
En TecnetOne queremos contarte qué está pasando, cómo funciona esta amenaza y qué pasos concretos puedes dar para reducir el riesgo en tu organización.
El origen del problema: CVE-2024-40766
Todo apunta a que los atacantes se están aprovechando de la vulnerabilidad CVE-2024-40766, un fallo crítico descubierto meses antes en SonicWall. Aunque la compañía lanzó parches para reforzar la seguridad frente a ataques de fuerza bruta y fallos en MFA, parece que muchas credenciales robadas durante la explotación inicial siguen siendo válidas incluso después de actualizar el firmware.
En la práctica, eso significa que aunque hayas aplicado actualizaciones, si en su momento tus dispositivos quedaron expuestos, todavía podrías estar en riesgo.
Cómo evaden la MFA
Lo más inquietante es que los atacantes no solo están usando credenciales robadas, sino que también parecen contar con semillas OTP comprometidas, lo que les permite saltarse la autenticación multifactor.
En más del 50% de las intrusiones analizadas, los delincuentes lograron autenticarse en cuentas que tenían OTP activado. Eso plantea un escenario en el que las medidas que siempre consideramos de “última línea de defensa” ya no bastan.
Conoce más: Ransomware Medusa: Una Amenaza Emergente
El patrón de ataque de Akira
Una vez dentro de la VPN, los atacantes actúan con velocidad quirúrgica. Normalmente en menos de 5 minutos ya están escaneando la red interna, buscando vulnerabilidades y accesos a servicios como RPC, NetBIOS, SMB y SQL.
Los pasos más comunes incluyen:
- Uso de herramientas como SoftPerfect o Advanced IP Scanner para mapear la red.
- Movimiento lateral con Impacket, RDP y técnicas de WMIExec.
- Enumeración de Active Directory con herramientas como BloodHound o ldapdomaindump.
- Creación de cuentas locales y de dominio (ejemplo: sqlbackup, veean) para mantener acceso persistente.
- Instalación de RMMs como AnyDesk, TeamViewer o RustDesk.
- Uso de Cloudflare Tunnel o SSH inverso para permanecer ocultos.
En cuestión de horas (a veces menos de 60 minutos), los atacantes ya han empaquetado datos sensibles con WinRAR, usado herramientas como rclone o FileZilla para exfiltrar la información y desplegado el ransomware en múltiples carpetas críticas.
Técnicas avanzadas para evadir defensas
Akira no es un ransomware más. Entre sus técnicas destacan:
- Eliminar copias de seguridad locales (Volume Shadow Copies).
- Desactivar antivirus y EDR usando trucos de Bring Your Own Vulnerable Driver (BYOVD).
- Reempaquetar herramientas legítimas de Microsoft como consent.exe para camuflarse.
- Modificar configuraciones de bases de datos para robar credenciales de Veeam y otros servicios de respaldo.
El resultado: en menos de medio día, los atacantes pueden haber cifrado toda tu red y robado información sensible, dejándote con dos problemas simultáneos: pérdida de datos y chantaje.
También podría interesarte: Seguridad ante Ransomware: Conoce este tipo de Ataque
Qué puedes hacer para protegerte
En TecnetOne creemos que la prevención sigue siendo tu mejor aliado. Estas son algunas recomendaciones clave:
- Resetea todas tus credenciales si alguna vez usaste versiones de SonicWall vulnerables a CVE-2024-40766.
- Revisa y renueva las semillas OTP: si fueron robadas, la MFA ya no te protege.
- Segmenta tu red para reducir el impacto de una intrusión inicial.
- Monitorea tus logs de VPN: inicios de sesión simultáneos o desde VPS son una señal clara de compromiso.
- Refuerza la seguridad de Active Directory, revisa permisos y desactiva cuentas que no se usen.
- Implementa soluciones de detección y respuesta gestionada (MDR) para detectar movimientos sospechosos en tiempo real.
Por qué necesitas apoyo experto
El caso de Akira es un recordatorio de que incluso con parches aplicados y MFA habilitada, los atacantes pueden encontrar maneras de entrar. La diferencia entre un susto y una catástrofe está en tu capacidad de detectar y responder rápido.
En TecnetOne trabajamos junto a nuestros partners para ofrecerte soluciones avanzadas de ciberseguridad, incluyendo monitoreo 24/7, gestión de vulnerabilidades, simulaciones de Red Team y protección de infraestructura crítica.
No esperes a ser la próxima víctima: los atacantes ya saben a quién buscar, y si tu VPN es un punto débil, tarde o temprano lo intentarán.
