Los operadores de ransomware FOG y Akira están intensificando sus ataques contra redes corporativas a través de cuentas VPN de SonicWall, utilizando una vulnerabilidad crítica identificada como CVE-2024-40766 en el control de acceso VPN SSL. Esta falla, que permite el acceso no autorizado, ha abierto la puerta a ciberataques devastadores.
Aunque SonicWall lanzó un parche para corregir el problema en SonicOS a fines de agosto de 2024, en menos de una semana ya había señales de que la vulnerabilidad estaba siendo explotada activamente. Al mismo tiempo, investigadores de seguridad han observado cómo afiliados del ransomware Akira están aprovechando esta debilidad para obtener acceso inicial a las redes corporativas, poniendo en riesgo la seguridad y la continuidad de muchas organizaciones.
¿Qué es el ransomware FOG?
FOG es un tipo de ransomware que apareció en abril de 2024, enfocado en atacar sistemas con Windows y Linux. Es una operación de extorsión bastante agresiva que funciona en varios frentes: no solo cifra los archivos de sus víctimas, sino que utiliza una "Dark Leak Site" (DLS) en la red TOR para publicar los datos robados de quienes se niegan a pagar el rescate. En esa página, FOG enumera a sus víctimas y muestra públicamente la información que ha exfiltrado, presionando a las empresas para que paguen.
¿A quién ataca el ransomware FOG?
Los ataques de FOG se han centrado, hasta ahora, en sectores como educación, ocio, viajes y manufactura. Aunque la mayoría de las víctimas están en Estados Unidos, nada impide que FOG se expanda a otros países. Si estás en alguno de estos sectores y dependes de una VPN para tus operaciones, este ransomware es algo de lo que querrás estar al tanto.
¿Cómo opera el ransomware FOG?
FOG utiliza tácticas bien estudiadas para ganar acceso a los sistemas. Normalmente, los operadores obtienen acceso inicial comprando credenciales comprometidas de intermediarios (conocidos como Initial Access Brokers o IABs). Con estas cuentas, logran un punto de entrada y luego se mueven de forma metódica dentro de la red, buscando otros dispositivos y expandiendo su alcance.
Existen versiones de FOG tanto para Windows como para Linux. La variante para Linux está diseñada para atacar específicamente entornos virtuales, y busca archivos relacionados como VMSD y VMDK. Al momento de cifrar los datos, el ransomware agrega extensiones como .fog, .Fog o .FLOCKED a los archivos, haciéndolos inaccesibles sin la clave de descifrado.
Te podrá interesar: Top 10 de Grupos de Ransomware que han Atacado a México
¿Cómo Aprovecha Vulnerabilidades en SonicWall VPN para Infiltrarse en Redes Corporativas?
Un nuevo informe de seguridad revela que los operadores de ransomware, Akira y FOG, han llevado a cabo al menos 30 ataques en los que lograron acceso inicial a redes a través de cuentas VPN de SonicWall. De esos ataques, el 75% se atribuyen a Akira, y el resto a FOG.
Lo curioso aquí es que estos dos grupos de ransomware parecen compartir infraestructura, lo que sugiere algún tipo de colaboración “no oficial” entre ellos, algo que ya se había detectado antes, según documentos de Sophos.
Aunque no se puede confirmar que todos estos ataques hayan explotado exactamente la misma vulnerabilidad, lo que sí se sabe es que todos los dispositivos afectados estaban usando versiones de software antiguas y sin parchear, lo que los hacía vulnerables. En la mayoría de los casos, el tiempo entre la intrusión inicial y el cifrado de los datos fue increíblemente corto, alrededor de diez horas en promedio, aunque en algunos casos lograron cifrar todo en solo una o dos horas.
Muchos de estos ataques utilizaron VPN o VPS para ocultar la verdadera dirección IP de los atacantes. En el informe también se señaló que, además de tener puntos de acceso desactualizados, las empresas afectadas no habían activado la autenticación multifactor (MFA) en sus cuentas VPN SSL, y muchas seguían utilizando el puerto predeterminado (4433) para el acceso.
En los registros de firewall, se detectaron eventos que mostraban intentos de inicio de sesión remoto permitidos, seguidos de mensajes que confirmaban que las IPs estaban asignadas correctamente. Una vez dentro, los atacantes no perdieron tiempo y llevaron a cabo ataques de cifrado rápidos, enfocados sobre todo en máquinas virtuales y copias de seguridad.
En cuanto al robo de datos, los ciberdelincuentes se centraron en documentos y software propietario reciente, dejando de lado archivos de más de seis meses de antigüedad, o 30 meses en el caso de archivos muy sensibles. El ransomware FOG, que apareció en mayo de 2024, ha estado ganando terreno y, al igual que Akira, sus afiliados suelen acceder a las redes usando credenciales de VPN comprometidas para abrirse paso. Recientemente se ha revelado que actualmente hay alrededor de 168,000 dispositivos de SonicWall vulnerables a la falla CVE-2024-40766 y expuestos a Internet, lo que los convierte en un blanco fácil para los atacantes.
Además, hay señales de que otro ransomware, Black Basta, también podría estar explotando esta misma vulnerabilidad en sus ataques recientes, sumándose a la lista de amenazas que están aprovechando esta falla de seguridad.
Conoce más sobre: Protección contra Ransomware con Acronis
¿Cómo detectar el ransomware Fog?
Un SOC es capaz de detectar y detener cualquier actividad maliciosa como el ransomware, ayudando a proteger la red de posibles ataques. Si no cuentas con SOC, la detección del ransomware FOG puede ser un desafío, pero no imposible. Requiere una combinación de medidas técnicas y operativas para identificar y marcar actividad sospechosa en la red, lo que permite a tu equipo responder rápidamente y mitigar el impacto del ataque.
Para detectar el ransomware FOG sin una plataforma específica, es fundamental adoptar un enfoque en varias capas que incluya lo siguiente:
-
Usa software antimalware y otras herramientas de seguridad que puedan identificar y bloquear variantes conocidas de ransomware. Estas herramientas suelen usar firmas, heurísticas o incluso inteligencia artificial para detectar y bloquear archivos sospechosos o actividades maliciosas.
-
Monitorea el tráfico de red para detectar indicadores de compromiso, como patrones inusuales de tráfico o intentos de conexión a servidores de comando y control conocidos.
-
Realiza auditorías y evaluaciones de seguridad periódicas para identificar vulnerabilidades en la red y asegurarte de que todos los controles de seguridad están activos y funcionando correctamente.
-
Capacita a tus trabajadores en las mejores prácticas de ciberseguridad. Enseñarles a identificar correos electrónicos o enlaces sospechosos y a reportar posibles amenazas es clave para prevenir ataques.
-
Implementa un plan de respaldo y recuperación sólido, que asegure copias de seguridad actualizadas de tus datos y permita una restauración rápida en caso de un ataque.
Conclusión
Hoy en día, las amenazas como el ransomware FOG son tan sofisticadas que proteger la red de una empresa requiere mucho más que solo cubrir lo básico. Medidas como monitorear el tráfico de red, capacitar al equipo y tener un buen plan de respaldo son esenciales, pero con ataques que explotan vulnerabilidades específicas, estas precauciones a veces no bastan.
Ahí es donde entra en juego una solución como el SOC as a Service de TecnetOne. Este servicio no solo monitorea y detecta actividad sospechosa las 24 horas, sino que también permite reaccionar rápido ante cualquier intento de intrusión, dándote la tranquilidad de que tu red está protegida por un equipo de expertos. Entonces, ¿estás listo para dar el siguiente paso en seguridad y proteger tu negocio de manera proactiva?