A empresa de segurança cibernética S-RM trabalhou publicou um relatório sobre um caso em que o grupo que opera o ransomware Akira conseguiu contornou as ferramentas de detecção e resposta de endpoint contaminando uma câmera desprotegida. Segundo o documento, inicialmente “a ferramenta EDR identificou e colocou em quarentena o binário do ransomware, o que inibiu a capacidade do Akira de implantar o código malicioso no ambiente da vítima. Para não ser dissuadido, o agente da ameaça conduziu uma varredura de rede e identificou uma webcam desprotegida na mesma rede. O Akira conseguiu comprometer esse dispositivo e implantar o ransomware a partir dele, contornando a ferramenta EDR”.
Leia também
Gangue Akira faturou US$ 42 mi com 250 ataques desde 2023
Ransomware mira CVE já corrigido da Veeam
Como a câmera não era monitorada, o tráfego malicioso não era detectado, permitindo que o grupo Akira lançasse seu ransomware e criptografasse os dados da empresa.
O grupo obteve acesso à rede por meio de uma solução de acesso remoto exposta, provavelmente aproveitando credenciais roubadas ou forçando a senha. Após obter acesso, eles implantaram o AnyDesk, uma ferramenta legítima de acesso remoto, e roubaram os dados da empresa para uso como parte do ataque de extorsão dupla. Em seguida, o Akira usou RDP (o protocolo de Área de Trabalho Remota) para se mover lateralmente antes de implantar o ransomware diz o relatório.
Por fim, foi instalado um arquivo ZIP protegido por senha (win.zip) contendo o ransomware (win.exe), mas a ferramenta EDR da vítima o detectou e o colocou em quarentena. A seguir, os cibercriminosos escanearam a rede, encontrando desprotegidos uma webcam e um scanner.
