Arctic Wolf ha documentado una evolución crítica en la campaña del ransomware Akira contra SonicWall SSL VPN: los atacantes logran autenticarse con éxito incluso cuando el MFA con OTP está habilitado. La correlación de múltiples intentos OTP que culminan en un acceso válido sugiere la comprometida de semillas (seed) de OTP o un método alternativo para generar códigos válidos en tiempo real.
Cronología y CVE relacionadas: de un presunto 0‑day a fallos corregidos
Los incidentes se remontan a una ola de intrusiones iniciada el 15 de julio de 2025. En un inicio se barajó un 0‑day en firewalls de 7.ª generación de SonicWall, hipótesis apoyada por Huntress mediante indicadores de compromiso y la recomendación de deshabilitar temporalmente SSL VPN. Posteriormente, SonicWall vinculó la actividad a CVE‑2024‑40766 (control de acceso), parcheada en agosto de 2024. Tras aplicar correcciones, los actores siguieron explotando credenciales previamente robadas, lo que llevó al fabricante a urgir el cambio de contraseñas y la actualización a la rama vigente de SonicOS.
Tácticas observadas dentro de la red: movimiento lateral y foco en backups
Una vez autenticados, los operadores actúan con rapidez: el escaneo inicial de la red comienza en menos de cinco minutos. Para el movimiento lateral emplean Impacket (SMB Session Setup) y RDP, y realizan enumeración de Active Directory con dsquery, SharpShares y BloodHound, acelerando la identificación de rutas de privilegio.
El objetivo prioritario es Veeam Backup & Replication. Se ha observado un script personalizado en PowerShell capaz de extraer y descifrar credenciales almacenadas de MSSQL y PostgreSQL, incluyendo secretos gestionados por DPAPI. Atacar la infraestructura de copias de seguridad incrementa la probabilidad de extorsión y dificulta la recuperación tras el cifrado.
Evasión de defensas: BYOVD y abuso de componentes legítimos
Para neutralizar protecciones, Akira recurre a Bring‑Your‑Own‑Vulnerable‑Driver (BYOVD) y al abuso de binarios de confianza. Se ha detectado el uso de Microsoft consent.exe para cargar DLL maliciosas y controladores vulnerables como rwdrv.sys y churchill_driver.sys, con el fin de desactivar procesos de seguridad. Algunas intrusiones afectaron a equipos con SonicOS 7.3.0 —versión recomendada—, un indicio de compromiso por credenciales y de la posible exposición de factores de MFA.
MFA en riesgo: semillas de OTP y precedentes recientes
Aunque la técnica exacta de bypass no se ha publicado, la hipótesis principal es la filtración de seed‑keys de OTP o su generación clandestina. Un patrón similar fue reportado por Google Threat Intelligence en julio: el grupo UNC6148 desplegó el rootkit OVERSTEP en dispositivos SMA 100, presuntamente gracias a semillas OTP previamente robadas, lo que mantuvo el acceso incluso tras las actualizaciones. En ese caso no se asoció una CVE específica.
Implicaciones técnicas para los tokens OTP
Si la semilla OTP está comprometida, cambiar la contraseña no es suficiente. Es necesario regenerar los secretos y reinscribir (re‑enroll) el MFA en todas las cuentas afectadas; de lo contrario, el atacante continuará generando códigos válidos sincronizados.
Recomendaciones priorizadas de mitigación y detección
Medidas inmediatas: actualizar a la última versión soportada de SonicOS; forzar el cambio de contraseñas de administradores y usuarios VPN; revocar y volver a emitir los secretos OTP; restringir el acceso a SSL VPN por geolocalización y listas de permitidos; deshabilitar la administración web desde Internet.
Endurecimiento de autenticación: adoptar FIDO2/WebAuthn o autenticación por certificados para VPN cuando sea posible; aplicar controles de acceso condicional por dispositivo y contexto.
Defensa frente a BYOVD: habilitar Microsoft Vulnerable Driver Blocklist y HVCI/Kernel‑mode Code Integrity; monitorizar el uso inusual de consent.exe; bloquear controladores conocidos como maliciosos.
Backups y red: segmentar servidores de Veeam, usar cuentas dedicadas con menor privilegio, almacenar copias inmutables u offline y probar la restauración de forma periódica.
Detección y respuesta: cazar artefactos de Impacket, BloodHound y fuerza bruta RDP; correlacionar múltiples intentos OTP; vigilar la enumeración de AD; desplegar telemetría de red y EDR en nodos críticos.
Ante la actividad de Akira contra SonicWall SSL VPN, conviene revisar la cadena de confianza del MFA, revocar semillas OTP potencialmente expuestas y alinear la infraestructura con los indicadores de Arctic Wolf y Huntress. Reforzar la autenticación, bloquear controladores vulnerables y blindar las copias de seguridad reduce el impacto de un incidente y acelera la recuperación. Actúa hoy: verifica tus factores MFA, aplica parches y valida tu plan de continuidad.
