Simbiosis de hackers: Akira y Fog se unen para asaltar las redes

Los hackers están utilizando una vulnerabilidad en SonicWall VPN para llevar a cabo ataques con los virus de ransomware Fog y Akira. Los expertos creen que están explotando la vulnerabilidad CVE-2024-40766 , un error crítico en el sistema de control de acceso SSL VPN.

La empresa SonicWall publicó una actualización para resolver el problema a finales de agosto de 2024. Sin embargo, apenas una semana después, informó que la vulnerabilidad estaba siendo utilizada activamente en ataques. Investigadores de Arctic Wolf descubrieron que los grupos asociados con Akira están utilizando esta vulnerabilidad para infiltrarse en redes corporativas.

En un informe reciente de Arctic Wolf, se informa de al menos 30 ataques que comenzaron con acceso remoto a través de cuentas VPN de SonicWall. Aproximadamente el 75% de estos incidentes están relacionados con Akira, mientras que el resto se asocian con la operación Fog. Se descubrió que los operadores de ambos grupos utilizan una infraestructura común, lo que sugiere una colaboración no oficial, como registraron anteriormente expertos de Sophos.

Aunque no todas las intrusiones se vincularon directamente con la vulnerabilidad mencionada, todos los sistemas comprometidos utilizaban versiones obsoletas de SonicOS sin actualizaciones. En algunos casos, el tiempo entre la intrusión y el cifrado de datos fue de tan solo 1,5 a 2 horas, con un promedio de alrededor de diez horas.

Los atacantes a menudo usaban VPN o VPS para enmascarar sus direcciones IP. Los expertos destacan que muchas empresas no implementaron autenticación multifactor y utilizaron el puerto estándar 4433, lo que facilitó significativamente la tarea a los hackers.

Entre los datos capturados había documentos y software. Los atacantes deliberadamente ignoraban archivos creados hace más de seis meses, y para datos especialmente importantes, hace más de 30 meses.

La operación Fog, lanzada en mayo de 2024, está en rápida expansión, utilizando credenciales comprometidas de VPN corporativas para obtener acceso no autorizado. Akira, un grupo más experimentado, enfrentó problemas temporales para acceder a sus recursos en la red Tor, pero está restableciendo gradualmente sus operaciones y probablemente atacará de nuevo con más fuerza en el futuro.

La falta de actualizaciones oportunas y la negligencia en implementar autenticación multifactor abren las puertas a ataques dirigidos. La colaboración entre grupos como Akira y Fog demuestra que las amenazas modernas se vuelven cada vez más organizadas y rápidas, y cada vulnerabilidad es una oportunidad para que los atacantes lancen un golpe fulminante y evadan incluso los sistemas de protección más complejos.