- El ransomware Akira absorbe CVE -2024-40766 para acceder a la VPN de Sonalwal a pesar de los parches y MFA
- Los investigadores sospechan que las semillas OTP fueron robadas, habilita el bypass de protección de contraseña de un momento
- Google UNC6148 atacó en el Patchad, las aplicaciones de la vida de vida de la vida de vida SMA 100
Los operadores de Akira Ransomwear todavía están buscando formas de infiltrarse en los dispositivos VPN SSL de Sonikwal, aunque las debilidades conocidas se están parchando, y a pesar de las víctimas de la autenticación multifactor (MFA) en todos los informes.
Múltiples investigadores de seguridad han confirmado que los ataques han tenido lugar, pero tienen una teoría diferente (pero algo similar) sobre lo que realmente está sucediendo.
A fines de julio de 2025, los investigadores de protección Aric Wolf Labs informaron un entusiasmo por los inicios de sesión contaminados que se produjeron a través del ejemplo de VPN de Sonalwal SSL. En ese momento, los investigadores asumieron que los últimos puntos llevaban una debilidad de día cero, pero luego se confirmó que los delincuentes de Akira realmente descubrieron el CVE-2024-40766, se descubrió y parcheó un error de control de acceso inapropiado en septiembre de 2024.
Tokens de día cero son NABS?
Además de parchear, Sonikwal pidió a sus clientes que restablecieran todos los certificados SSL VPN, pero parece que estas medidas no fueron suficientes para mantener a Akira en el Golfo.
Ahora, Artic Wolf dice que está viendo inicios de sesión exitosos con cuentas protegidas por 2FA. En un informe publicado esta semana, los investigadores dicen que se emitieron múltiples desafíos de contraseñas únicas (OTP) antes de inicios de sesión exitosos antes de inicios de sesión exitosos, lo que indica que los atacantes probablemente se comprometieron con las semillas OTP, o encontraron otra forma de crear token.
“Desde este punto de vista, las credenciales probablemente se cosecharon de los dispositivos arriesgados de CVE-20-40766 y luego utilizadas por los actores de amenaza, incluso aunque los mismos dispositivos estaban parches.
Al mismo tiempo, Google informó que las semillas OTP robadas probablemente eran culpables, pero se nutrieron a través de cero.
Google dijo en su informe: “Google amenazó al Grupo de Inteligencia (GTIG) ha identificado la campaña en curso por un presunto actor de inspiración financiera, que rastreamos como UNC 6148, que recogió perfectamente el acceso móvil seguro (SMA) de la vida de Sonaliwall (SMA)”. “GTIG con alta confianza evalúa que UNC6148 está ganando certificados robados y semillas de contraseña de un solo tiempo (OTP) durante la intrusión anterior, las empresas permiten que su acceso sea el acceso incluso después de aplicar actualizaciones de seguridad”.
A través de Computadora
