Akira: ransomware logra autenticarse en cuentas VPN de SonicWall pese a MFA

Resumen del incidente

Investigadores han detectado una oleada de ataques del ransomware conocido como Akira que apuntan a dispositivos SonicWall SSL VPN. Los atacantes han logrado autenticarse en cuentas protegidas por MFA de tipo OTP (códigos de un solo uso), lo que permite el acceso a las redes corporativas a través de los túneles VPN. Aunque la técnica exacta no ha sido confirmada, los investigadores plantean la posibilidad de que se estén usando semillas OTP previamente robadas.

Los investigadores sospechan que la autenticación exitosa se debe al uso de semillas OTP robadas, aunque el método exacto aún no está confirmado.

Contexto y antecedentes: por qué importa

Los dispositivos VPN orientados al acceso remoto son objetivos de alto valor para atacantes porque ofrecen un camino directo hacia redes internas y recursos sensibles. SonicWall es un proveedor ampliamente desplegado en entornos corporativos y de proveedores de servicios, por lo que cualquier campaña dirigida a sus productos puede tener un impacto amplio.

La autenticación multifactor (MFA) es una de las barreras de seguridad más efectivas contra el secuestro de cuentas. Organizaciones de seguridad y proveedores han mostrado que la implantación correcta de MFA reduce drásticamente las probabilidades de compromiso automatizado de cuentas. Sin embargo, la eficacia depende de la protección de todos los elementos del sistema MFA: semillas OTP, bases de datos de usuarios, infraestructura de enrolamiento y procesos de recuperación. Si alguno de esos componentes queda comprometido, la MFA deja de ser una salvaguarda absoluta.

Análisis técnico y comentario experto para profesionales

Con la información disponible hasta ahora, las hipótesis plausibles incluyen, entre otras:

• Uso de semillas OTP previamente exfiltradas: muchos tokens basados en TOTP/HOTP se generan a partir de una semilla secreta (seed) vinculada al usuario. Si esa semilla fue robada en un incidente anterior o mediante la exposición de respaldos/configuraciones, un atacante puede generar códigos válidos sin interactuar con el usuario.
• Compromiso de sistemas de enrolamiento o respaldo: secretos de MFA pueden residir en bases de datos, backups o imágenes de configuración de servidores VPN. Un acceso previo a esos sistemas permite reutilizar credenciales MFA.
• Secuestro de sesión o abuso de sesión persistente: en algunos entornos, sesiones VPN no expiran adecuadamente o las cookies/tokens de sesión son reutilizables, facilitando el acceso incluso con MFA activada.
• Ingeniería social/prompt bombing: aunque menos compatible con el uso de semillas, algunas campañas fuerzan al usuario a aceptar una notificación push o introducir un código mediante acoso (MFA fatigue).

Para equipos técnicos, las señales a buscar en los registros incluyen autenticaciones desde IPs inusuales, intentos repetidos de OTP, autenticaciones fuera del horario habitual, creación o cambios de dispositivos MFA en el portal de administración, y transferencias de archivos grandes tras la autenticación VPN. Los logs de la appliance SSL VPN, los syslogs y los registros de autenticación centralizados (RADIUS/LDAP/AD) son esenciales para la investigación forense.

Casos comparables y estadísticas relevantes

Históricamente, los dispositivos VPN han sido vectores recurrentes en campañas de ransomware y sofisticados ataques a infraestructuras. Además, múltiples técnicas para evadir MFA son de dominio público: desde SIM swaps y clonado de semillas hasta abuso de mecanismos de enrolamiento y prompt bombing. En términos de eficacia, proveedores de nube y seguridad han comunicado que la MFA, si está bien configurada, bloquea la vasta mayoría de los ataques automatizados. Por ejemplo, informes de la industria han indicado que la adopción de MFA reduce de forma significativa el riesgo de compromiso de cuentas frente a ataques masivos automatizados.

Si bien MFA sigue siendo recomendación principal de seguridad, los incidentes recientes ponen de manifiesto que no es infalible y debe complementarse con controles adicionales (hard tokens, restricciones de acceso, monitorización continua).

Riesgos e implicaciones para organizaciones

La capacidad de un atacante para autenticarse en una VPN protegida por MFA eleva varios riesgos:

• Acceso lateral y movimiento dentro de la red: una vez dentro, los atacantes pueden explorar recursos internos, desplegar cargas útiles y propagarse a otros sistemas.
• Exfiltración de datos sensibles: el acceso a través de VPN facilita la extracción de bases de datos, copias de seguridad y documentos confidenciales.
• Despliegue de ransomware y cifrado de activos: acceso remoto autorizado reduce las barreras para desplegar ransomware como Akira contra servidores y endpoints críticos.
• Pérdida de integridad operacional: interrupciones en servicios críticos y costes operativos de incidentes que incluyen contención, recuperación y notificación regulatoria.

Recomendaciones operativas y técnicas (acciones prioritarias)

Ante esta amenaza, recomendamos un enfoque por capas que cubra detección, contención y remediación:

• Revisión inmediata de logs: identifique accesos VPN anómalos, cambios en la configuración de MFA y enrolamientos recientes. Correlacione con eventos de exfiltración.
• Rotación y reprovisionado de MFA: para cuentas críticas, reprovisione tokens MFA (regenerar semillas) a través de un proceso seguro y forzado. No permita enrolamientos masivos sin verificación.
• Forzar restablecimiento de credenciales y revocar sesiones activas: termine todas las sesiones VPN persistentes y revoque credenciales comprometidas. Exija autenticación completa para restablecer acceso.
• Aplicar actualizaciones y parches: verifique que los dispositivos SonicWall (firmware y firmwares de gestión) estén actualizados y que se hayan aplicado correcciones publicadas por el fabricante.
• Incrementar controles de acceso: implemente políticas de acceso condicional por dirección IP, hora y reputación; limite el acceso VPN a hosts gestionados y a cuentas con permisos estrictos (principio de menor privilegio).
• Eliminar almacenamientos inseguros de seeds: audite backups y configuraciones para detectar almacenamiento de semillas OTP en texto plano o accesible por personal no autorizado.
• Adoptar métodos MFA más resistentes: considere autenticadores basados en FIDO2/hardware o PKI para cuentas administrativas, ya que dificulta el reuso de semillas clonadas.
• Segmentación y microsegmentación: reduzca el alcance de acceso VPN para que, incluso si se compromete una cuenta, el movimiento lateral quede limitado.
• Plan de respuesta y comunicación: active equipos de respuesta a incidentes, preserve evidencias y notifique a partes afectadas según obligaciones legales y contractuales.
• Copias de seguridad offline e inmutables: asegúrese de respaldos regularmente y aislados para recuperación frente a cifrado de activos.

Conclusión

El caso de Akira autenticándose en cuentas VPN protegidas por MFA subraya que la MFA es necesaria pero no suficiente por sí sola. La posibilidad de semillas OTP robadas o la explotación de procesos de gestión de MFA demuestra la importancia de proteger todo el ciclo de vida de la autenticación (enrolamiento, almacenamiento, revoque y recuperación). Para mitigar este tipo de campañas, las organizaciones deben combinar actualizaciones de infraestructura, controles de acceso condicionados, métodos MFA más robustos y monitorización continua de logs y sesiones. La detección temprana y la respuesta coordinada siguen siendo las mejores defensas contra la escalada que precede al despliegue de ransomware.

Source: www.bleepingcomputer.com