A gangue de ransomware Akira inovou em seus métodos ao utilizar uma webcam desprotegida para criptografar arquivos em uma rede corporativa. Esse ataque evidencia vulnerabilidades em dispositivos IoT e a necessidade de estratégias de segurança mais abrangentes.
Ransomware Akira utiliza webcam vulnerável para ataque sofisticado
Como ocorreu o ataque?
A investigação conduzida pela empresa de segurança S-RM revelou que os cibercriminosos inicialmente obtiveram acesso à rede por meio de um serviço de acesso remoto exposto. Utilizando credenciais comprometidas ou força bruta, os invasores conseguiram se infiltrar na infraestrutura da empresa.
Uma vez dentro da rede, a gangue implantou o software AnyDesk, uma ferramenta legítima de acesso remoto, para manter persistência no sistema. Além disso, roubaram dados da empresa para utilizar em extorsão dupla, uma tática comum entre grupos de ransomware.
Tentativa frustrada e nova abordagem
Os criminosos tentaram inicialmente instalar um ransomware diretamente no Windows, mas a solução de Endpoint Detection and Response (EDR) da vítima bloqueou a ameaça ao detectar a carga maliciosa no arquivo protegido por senha (win.zip). Diante desse obstáculo, os hackers buscaram alternativas para realizar o ataque.
Uso de uma webcam vulnerável
Após escanear a rede em busca de dispositivos sem proteção avançada, os criminosos identificaram uma webcam e um scanner de impressão digital. A webcam foi escolhida porque:
- Estava vulnerável ao acesso remoto via shell;
- Permitia visualização não autorizada de vídeos;
- Operava em um sistema baseado em Linux, compatível com o ransomware Akira;
- Não possuía monitoramento por EDR, tornando-a um alvo ideal.
Notícias Relacionadas
Ameaça digital
Malware para Android usa .NET MAUI para burlar detecção e roubar dados
Novas campanhas de malware para Android utilizam o .NET MAUI da Microsoft para evitar detecção, disfarçando-se como aplicativos legítimos. A McAfee identificou falsos apps bancários e de comunicação que roubam dados pessoais e financeiros.
Segurança cibernética
Pesquisadores revelam 200 domínios C2 associados ao malware Raspberry Robin
Pesquisadores identificaram quase 200 domínios C2 usados pelo malware Raspberry Robin, um corretor de acesso inicial para grupos cibercriminosos, incluindo hackers russos.
Execução do ataque
Com o controle da webcam, os criminosos montaram compartilhamentos de rede SMB do Windows e executaram o ransomware diretamente do dispositivo IoT. Esse método contornou completamente a proteção EDR, pois os ataques partiram de um equipamento não monitorado pela segurança da empresa.
Os invasores criptografaram arquivos na rede sem serem detectados, pois o tráfego malicioso vindo da webcam passou despercebido pelos sistemas de defesa.
Como se proteger contra esse tipo de ataque?
Este incidente reforça que a proteção por EDR, embora essencial, não é suficiente para garantir a segurança completa contra ransomware. Algumas medidas preventivas incluem:
- Isolamento de dispositivos IoT: Equipamentos como webcams e sensores devem estar segmentados das redes principais da empresa.
- Atualizações regulares de firmware: Manter dispositivos sempre atualizados reduz a chance de exploração de vulnerabilidades conhecidas.
- Monitoramento de tráfego anômalo: Ferramentas de segurança devem detectar padrões incomuns em dispositivos IoT.
- Controle de acesso rigoroso: Serviços remotos expostos devem ser protegidos com autenticação multifator e restrição de acesso.
O caso da gangue Akira mostra que ameaças cibernéticas estão em constante evolução, tornando essencial a implementação de estratégias de defesa que considerem todos os dispositivos conectados à rede.
