Los actores de amenaza afiliados al Grupo de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el acceso inicial. La firma de seguridad cibernética Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente siguiendo informes sobre la actividad renovada de ransomware Akira desde finales de julio de 2025. Sonicwall posteriormente reveló la actividad de VPN SSL dirigida a sus firewalls involucrados por un año de seguridad de un año (CVE-2024-407666666, CVSss: 9.3. durante la migración y no reiniciar. «Estamos observando una mayor actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», señaló la compañía. «Para mitigar el riesgo, los clientes deben permitir el filtrado de Botnet para bloquear a los actores de amenaza conocidos y garantizar que las políticas de bloqueo de la cuenta estén habilitadas». Sonicwall también ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si está mal configurado en el contexto de un ataque de ransomware AKIRA; esta configuración agrega automáticamente cada usuario LDAP autenticado con éxito a un grupo local predefinido, independientemente de su membresía real en un directorio activo. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin necesidad legítima de esos servicios, heredará instantáneamente esos permisos. Esto omite efectivamente los controles de acceso grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas. Rapid7, en su alerta, dijo que también ha observado a los actores de amenaza que acceden al portal de oficina virtual alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden facilitar el acceso público y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa. «El grupo Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y realizar operaciones de ransomware», dijo. Para mitigar el riesgo, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso de portal de oficina virtual a la red interna. La orientación de Akira de SonicWall SSL VPNS también ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos. Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la fecha, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e Inc Ransom. De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente. Akira mantuvo «actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma», dijo Dragos de la compañía de ciberseguridad industrial en un informe publicado el mes pasado. Las recientes infecciones por ransomware de Akira también han aprovechado las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para administrar instaladores troyanizados para herramientas populares de gestión de TI, que luego se utilizan para soltar el cargador de malware Bumblebee. Los ataques luego utilizan Bumblebee como un conducto para distribuir el marco de emulación y emulación adversario de adaptixc2, instalar Rustdesk para el acceso remoto persistente, exfiltrado e implementar el ransomware. Según la Unidad 42 de Palo Alto Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para satisfacer sus necesidades. Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen acceso remoto a través de asistencia rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode. «El Grupo de Ransomware Akira sigue un flujo de ataque estándar: obtener acceso inicial a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, localizar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la cifra de ransomware en el nivel del hipervisor