El ransomware Akira elude cuentas SonicWall SSL VPN protegidas por OTP — Lo que los profesionales deben saber

El ransomware Akira elude cuentas SonicWall SSL VPN protegidas por OTP — Lo que los profesionales deben saber

Resumen del incidente

Investigadores de seguridad que siguen los ataques en curso del grupo de ransomware Akira informan que los actores se han autenticado con éxito en cuentas de VPN SSL de SonicWall incluso cuando está habilitada la autenticación multifactor con código de un solo uso (OTP). El análisis inicial sugiere el probable uso de semillas OTP robadas previamente como un posible mecanismo, pero la técnica exacta para derrotar la MFA en estos incidentes sigue sin confirmarse.

Los investigadores sospechan que esto puede deberse al uso de semillas OTP robadas previamente, aunque el método exacto sigue sin confirmarse en este momento.

La actividad reportada se centra en los dispositivos VPN SSL de SonicWall y forma parte de un patrón más amplio de actores de amenaza que apuntan a infraestructuras de acceso remoto como vector de acceso inicial para operaciones de ransomware.

Contexto y por qué importa

Los appliances VPN y los portales de acceso remoto son objetivos de alto valor. Proporcionan acceso directo a las redes corporativas y, con frecuencia, son accesibles desde Internet público. Cuando actores de amenaza acceden con éxito a una cuenta VPN, pueden moverse lateralmente, recopilar credenciales, desplegar ransomware y exfiltrar datos.

La MFA se recomienda y despliega ampliamente precisamente para reducir el riesgo de este tipo de compromisos. Una autenticación exitosa a pesar de una MFA basada en OTP representa, por tanto, una escalada significativa: demuestra que un adversario puede derrotar un control defensivo importante y acceder a recursos internos que las organizaciones presuponen protegidos.

• Las pasarelas de acceso remoto (VPN SSL) son objetivos frecuentes porque suelen situarse en el perímetro de la red y pueden no estar parchadas o estar mal configuradas.
• La MFA basada en OTP depende de una semilla secreta: si ese secreto se expone, el segundo factor queda efectivamente comprometido.
• Los actores de ransomware suelen encadenar varias técnicas —desde la recolección de credenciales y el acceso por VPN hasta el movimiento lateral y la encriptación—, por lo que eludir la MFA puede acelerar y ampliar el impacto.

Comentarios de expertos y análisis técnico para profesionales

Desde la perspectiva de seguridad operativa, la actividad de Akira refuerza varias realidades de larga data:

• La autenticación multifactor reduce el riesgo pero no es una panacea. La seguridad de la MFA basada en OTP depende de proteger las semillas secretas y los procesos de enrolamiento.
• Los atacantes combinan disponibilidad de credenciales, secretos con semillas, robo de tokens de sesión e ingeniería social para eludir protecciones. En ausencia de factores resistentes al phishing (por ejemplo, claves hardware FIDO2, autenticación basada en certificados), el riesgo persiste.
• Los dispositivos expuestos a Internet requieren un parcheado agresivo, monitorización y segmentación. La compromesa de un dispositivo perimetral suele proporcionar un acceso rápido y de alto impacto al interior de los entornos.

Los profesionales deberían considerar las siguientes prioridades de investigación al responder a supuestos bypasses de MFA en appliances VPN:

• Recopilar y preservar los registros de los appliances (registros de autenticación, acciones administrativas, cambios de configuración) y correlacionarlos con los registros de firewall y proxy para rastrear el movimiento lateral.
• Revisar los eventos de aprovisionamiento y enrolamiento de MFA. Buscar re-enrolamientos inesperados, exportaciones de semillas o cambios administrativos que puedan indicar compromiso de semillas o restablecimientos no autorizados de MFA.
• Identificar patrones de acceso anómalos: inicios de sesión desde direcciones IP nuevas o extranjeras, accesos en horarios inusuales, múltiples sesiones para la misma cuenta y cambios rápidos de IP.
• Inspeccionar la telemetría de endpoints y los controladores de dominio en busca de actividad tras la autenticación: el abuso de cuentas suele avanzar rápidamente hacia volcado de credenciales y uso de herramientas de movimiento lateral.

Casos comparables y tendencias observables

Si bien los detalles de esta actividad específica de Akira aún están emergiendo, la tendencia más amplia está bien documentada y no es controvertida: los adversarios continúan apuntando a soluciones de acceso remoto y buscan formas de eludir las protecciones multifactor.

• Grupos de ransomware y otras bandas extorsionadoras han explotado repetidamente appliances VPN y otras tecnologías de acceso remoto para lograr un ingreso inicial.
• Entre las técnicas reportadas en incidentes anteriores para derrotar o eludir la MFA se incluyen el robo de credenciales, el secuestro de sesión, aprobaciones push de MFA inducidas por ingeniería social (fatiga de MFA) y el robo de semillas o tokens de MFA.
• Las guías de seguridad de grupos industriales han enfatizado la migración hacia MFA resistente al phishing (basada en clave pública) y la aplicación de controles estrictos sobre appliances de acceso remoto, puesto que los OTP simples, aunque mejores que solo contraseñas, pueden ser socavados si un adversario posee el secreto o el token de sesión.

Riesgos potenciales, implicaciones y recomendaciones priorizadas

Riesgo e implicaciones

• Si un atacante puede autenticarse en VPN que las organizaciones creen protegidas por MFA, puede obtener acceso inmediato a recursos internos, hosts sin protección y copias de seguridad —lo que aumenta la probabilidad de un despliegue rápido y de alto impacto de ransomware.
• El compromiso de semillas OTP o del proceso de enrolamiento de MFA puede conducir a accesos persistentes y sigilosos de larga duración que son difíciles de detectar sin telemetría dirigida y buenas prácticas de registro.
• La exposición de appliances de acceso remoto puede derivar en impactos regulatorios y comerciales más amplios debido al robo de datos, la interrupción operativa y la posible extorsión.

Recomendaciones accionables (priorizadas)

• Contención y triage inmediatos
  • Aislar los appliances VPN afectados de Internet y de las redes internas si se sospecha compromiso; preservar imágenes forenses y registros.
  • Forzar el restablecimiento de contraseñas y el re-enrolamiento inmediato de MFA para las cuentas sospechosas de estar comprometidas; revocar sesiones y tokens.
• Mitigaciones a corto plazo
  • Aplicar el firmware y los parches de seguridad más recientes a los dispositivos SonicWall y otros dispositivos perimetrales.
  • Restringir el acceso administrativo a interfaces de gestión (hosts de salto, subredes administrativas dedicadas, listas de permitidos por IP y MFA para acciones administrativas).
  • Implementar reglas de acceso condicional cuando sea posible (geofencing, comprobaciones de postura del dispositivo, restricciones por horario).
• Endurecimiento a medio y largo plazo
  • Migrar de MFA basada en OTP a métodos resistentes al phishing (tokens hardware FIDO2/WebAuthn o autenticación basada en certificados) para cuentas de alto riesgo y usuarios administrativos.
  • Aplicar el principio de privilegio mínimo y segmentación de red para que una única cuenta VPN no pueda acceder a redes de gestión críticas ni a copias de seguridad.
  • Requerir detección y respuesta en endpoints (EDR) en los dispositivos usados para acceder a VPN y exigir buenas prácticas de higiene de dispositivos (parches, cifrado de disco).
  • Implementar registro centralizado y reglas de detección en SIEM ajustadas a anomalías de acceso remoto y relacionadas con MFA (por ejemplo, OTPs exitosos tras muchos fallos, sesiones concurrentes).
• Mejoras en detección y monitorización
  • Monitorizar eventos administrativos inusuales en los appliances VPN (exportaciones de configuración, nuevas cuentas, aprovisionamientos inesperados de MFA).
  • Rastrear y alertar sobre nuevas sesiones persistentes, cambios geográficos rápidos en ubicaciones de inicio de sesión y uso atípico de cuentas de servicio.
• Respuesta a incidentes y preparación
  • Preparar playbooks específicos para compromisos de appliances perimetrales y escenarios de bypass de MFA; ensayar con ejercicios de mesa.
  • Involucrar a los proveedores y a socios externos de respuesta a incidentes de forma temprana cuando se sospeche la compromesa de un dispositivo.

Conclusión

Los informes sobre operadores de Akira autenticándose en cuentas VPN SSL de SonicWall a pesar de la MFA basada en OTP subrayan una lección crítica: la MFA es un control esencial pero debe formar parte de defensas en capas, no ser el único punto de confianza. Las organizaciones deberían validar con urgencia la integridad del enrolamiento de MFA y la gestión de secretos, aplicar parches a los appliances y acelerar la adopción de autenticación resistente al phishing para cuentas de alto riesgo. La detección, la contención rápida y la capacidad de reaprovisionar credenciales y tokens son clave para limitar el impacto cuando se eluden las protecciones MFA o se sospecha compromiso de semillas.

Fuente: www.bleepingcomputer.com