Barracuda full logo

SOC Threat Radar — Octubre 2025

Temas:
21 oct 2025
|
Laila Mubashar

Durante el último mes, las soluciones de seguridad, los recursos de inteligencia de amenazas y los analistas del SOC de Barracuda Managed XDR observaron los siguientes comportamientos de ataque destacables:

  • Un aumento en los ataques de ransomware dirigidos a las VPN de SonicWall vulnerables
  • Scripts de Python utilizados para ejecutar herramientas maliciosas de forma encubierta
  • Más cuentas de Microsoft 365 están siendo atacadas

Un aumento en los ataques de ransomware Akira dirigidos a las VPN de SonicWall vulnerables.

¿Qué está pasando?

El grupo de ransomware as a service Akira está atacando a organizaciones a través de dispositivos VPN SonicWall vulnerables. Barracuda emitió un aviso de seguridad sobre la amenaza en agosto. Tres meses después, el nivel de peligro sigue siendo alto ya que los ataques continúan evolucionando.

Los ataques explotan una vulnerabilidad de un año de antigüedad y ya parcheada (CVE-2024-40766). Están teniendo éxito porque no todos los usuarios han aplicado el parche, y porque los atacantes pueden usar credenciales robadas (obtenidas antes de que se aplicara el parche) para interceptar contraseñas de un solo uso (OTPs). Estas generan tokens de inicio de sesión válidos y permiten a los atacantes eludir la autenticación multifactor (MFA), incluso en sistemas que han sido actualizados.

Akira es conocida por moverse muy rápidamente de la infección al cifrado. Recientemente se encontró utilizando herramientas legítimas, como el software de monitoreo y gestión remota (RMM), para evitar la detección y desactivar las herramientas de seguridad y los sistemas de backup para impedir la recuperación.

Su organización puede estar en riesgo si usted:

  • Aún no ha aplicado el parche ni restablecido credenciales como contraseñas después de aplicar el parche.
  • Tiene alguna cuenta antigua o no utilizada conectada al cortafuegos
  • Tiene cuentas de servicio en segundo plano no supervisadas con un alto nivel de privilegios de acceso y contraseñas que no se cambian regularmente.

Para proteger su organización:

  • Utilice una herramienta de escaneo como Managed Vulnerability Security de Barracuda para verificar si tiene un SonicWall VPN sin parchear en su red.
  • Aplique el parche de seguridad
  • Restablezca todas las credenciales de VPN
  • Actualice a la versión 7.3.0 o posterior del firmware de SonicOS, que cuenta con protecciones mejoradas.
  • Audite y elimine cualquier cuenta no utilizada o heredada, incluidas las cuentas de servicio.
  • Cambie las contraseñas de todas las cuentas locales y de servicio, especialmente aquellas migradas desde sistemas más antiguos.
  • Restrinja el acceso a la VPN a direcciones IP de confianza y bloquee los inicios de sesión desde países o proveedores de alojamiento con los que no haga negocios.

Si cree que existe alguna posibilidad de que sus credenciales u OTP hayan sido expuestas, actúe rápidamente. Restablezca todas las contraseñas, cambie a MFA resistente al phishing, como las claves de seguridad FIDO2, y revise los registros del VPN para detectar actividad inusual, como patrones de inicio de sesión inusuales o acceso desde ubicaciones desconocidas.

Scripts de Python utilizados para ejecutar herramientas maliciosas de forma encubierta

¿Qué está pasando?

Los analistas de SOC de Barracuda han observado un aumento en las herramientas de hacking lanzadas y ejecutadas por scripts (programas) de ordenador en Python.

Las herramientas de hacking incluyen el popular ladrón de contraseñas Mimikatz, el lenguaje de scripting legítimo PowerShell y herramientas de relleno de credenciales/scripts de automatización para probar nombres de usuario y contraseñas robados en sitios web.

El uso de scripts de Python podría ser una forma para que los atacantes eviten la detección o aceleren y automaticen sus ataques.

Por ejemplo, los scripts de Python pueden ayudar a disfrazar la ejecución de herramientas maliciosas con programas de apariencia legítima que no levantan sospechas.

El uso de Python para automatizar la ejecución de herramientas de hacking también reduce la necesidad de intervención manual que podría desencadenar una alerta de seguridad, y aumenta la velocidad y eficiencia de los ataques. Esto permite a los atacantes llevar a cabo sus ataques rápidamente, reduciendo la ventana de tiempo para la detección y respuesta.

Los scripts automatizados de Python también pueden ejecutar múltiples operaciones simultáneamente, lo que permite a los atacantes realizar varias acciones a la vez, como escanear en busca de vulnerabilidades mientras exfiltran datos.

Su organización puede estar en riesgo si usted:

  • Carecen de capacidades de detección robustas e integradas para identificar actividades sospechosas o maliciosas.
  • No están ejecutando el software más actualizado.
  • No tener políticas de contraseña sólidas y coherentes ni medidas de autenticación multifactor implementadas.
  • Falta formación regular en concienciación en ciberseguridad para los empleados

Para proteger su organización:

  • Instale protección de endpoints como Barracuda Managed Endpoint Security para detectar amenazas basadas en Python.
  • Corrija las vulnerabilidades conocidas y actualice su software y sistemas con regularidad.
  • Limite los derechos de acceso y permisos para los empleados
  • Forme regularmente a los empleados sobre las últimas amenazas, qué deben tener en cuenta y cómo informar de cualquier indicio sospechoso.

Más cuentas de Microsoft 365 bajo ataque

¿Qué está pasando?

Barracuda está observando un aumento en la actividad inusual de inicio de sesión en cuentas de Microsoft 365. Estos son inicios de sesión que no coinciden con el comportamiento normal de un usuario, provenientes de una ubicación o dispositivo inesperado, o en un momento en que el usuario normalmente no está online. Esto puede indicar que un atacante ha comprometido las credenciales del usuario y está intentando acceder a la cuenta.

El aumento refleja la creciente popularidad de Microsoft 365 como herramienta de productividad empresarial con múltiples aplicaciones integradas.

Una cuenta comprometida puede proporcionar a un atacante:

  • Acceso confirmado que puede vender a otros ciberdelincuentes, como los intermediarios de acceso inicial.
  • Acceso a la red más amplia para permitir el movimiento lateral
  • La capacidad de localizar y robar correos electrónicos, archivos, datos y mensajes sensibles, que pueden usar para extorsión o ataques basados en suplantación.
  • Un canal para entregar cargas útiles maliciosas adicionales
  • Y más

Su organización puede estar en riesgo si usted:

  • Publica nombres y datos de contacto de ejecutivos, finanzas, RRHH. y equipos de TI online donde sean fáciles de identificar para terceros.
  • No tiene una política de contraseñas fuerte y coherente ni la autenticación multifactor activada para todo el mundo.
  • Está viendo inicios de sesión inusuales desde países o dispositivos desconocidos.
  • No hay formación regular en concienciación sobre ciberseguridad para los empleados.

Para proteger su organización

  • Habilitar MFA para todas las cuentas de Microsoft 365
  • Limite los derechos de acceso y permisos para los empleados
  • Instale protección para servicios y tráfico basado en la nube, como Barracuda Managed XDR Cloud Security
  • Forme regularmente a los empleados sobre las últimas amenazas, qué deben tener en cuenta y cómo informar de cualquier indicio sospechoso.
  • Bloquee el acceso desde ubicaciones o dispositivos de riesgo

Cómo Barracuda Managed XDR puede ayudar a su organización

Barracuda Managed XDR ofrece protección avanzada contra las amenazas identificadas en este informe al combinar tecnología de vanguardia con la supervisión experta del SOC. Con inteligencia de amenazas en tiempo real, respuestas automatizadas, un equipo SOC disponible 24 horas al día, 7 días a la semana, 365 días al año y

XDR, Managed Vulnerability Security, que identifica brechas y descuidos de seguridad, Barracuda Managed XDR garantiza una protección integral y proactiva en toda su red, nube, correo electrónico, servidores y endpoints, dándole la confianza para adelantarse a las amenazas en evolución.

Para obtener más información sobre cómo podemos ayudar, por favor, póngase en contacto con Barracuda Managed XDR.

Detenga las amenazas con ciberseguridad 24 horas al día, 7 días a la semana
Laila Mubashar

Como analista sénior de ciberseguridad, Laila Mubashar dirige las iniciativas de detección, investigación y respuesta frente a amenazas avanzadas para proteger a las organizaciones de la evolución de los ciberriesgos. Se centra en la defensa proactiva, el análisis de incidentes y el fortalecimiento de la estrategia general de seguridad en los diversos entornos de clientes.

 

Publicaciones relacionadas:
Barracuda named as a Visionary in the 2025 Gartner® Magic Quadrant™ for Email Security
Barracuda named as a Visionary in the 2025 Gartner® Magic Quadrant™ for Email Security
 Threat Spotlight: Introducing GhostFrame, a new super stealthy phishing kit
Threat Spotlight: Introducing GhostFrame, a new super stealthy phishing kit
SOC Threat Radar — December 2025
SOC Threat Radar — December 2025
 December webinars: Combating identity compromise and account takeover
December webinars: Combating identity compromise and account takeover
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.