La banda de ransomware Akira fue descubierta utilizando una webcam no segura para lanzar ataques de encriptación en la red de una víctima, eludiendo eficazmente la protección de Endpoint Detection and Response (EDR) que bloqueaba el encriptador en Windows.
La firma de ciberseguridad S-RM descubrió este método de ataque poco común durante una reciente respuesta a un incidente en uno de sus clientes.
El Enfoque No Convencional de Akira
Los actores de la amenaza inicialmente obtuvieron acceso a la red corporativa mediante una solución de acceso remoto expuesta en la empresa objetivo, probablemente aprovechando credenciales robadas o mediante un ataque de fuerza bruta.
Una vez dentro, desplegaron AnyDesk, una herramienta legítima de acceso remoto y robaron los datos de la empresa como parte de un ataque de doble extorsión.
Luego, Akira usó el Protocolo de Escritorio Remoto (RDP) para moverse lateralmente y expandir su presencia a la mayor cantidad de sistemas posibles antes de desplegar el payload del ransomware.
El Ataque que Eludió la EDR ️
Eventualmente, los atacantes dejaron caer un archivo ZIP protegido por contraseña (win.zip) que contenía el payload del ransomware (win.exe) pero la herramienta EDR de la víctima lo detectó y lo puso en cuarentena, bloqueando el ataque.
Tras este fracaso, Akira exploró otras vías de ataque, escaneando la red en busca de otros dispositivos que pudieran ser usados para encriptar los archivos, encontrando una webcam y un escáner de huellas dactilares.
La Elección de la Webcam
S-RM explica que los atacantes optaron por la webcam porque era vulnerable al acceso remoto y la visualización no autorizada de la transmisión de video.
Además, funcionaba con un sistema operativo basado en Linux compatible con el encriptador de Akira para Linux.
Tampoco tenía un agente EDR, lo que la hacía un dispositivo óptimo para encriptar archivos remotamente en los shares de red.
¿Cómo Evitar el Ataque del Ransomware Gang? ⚠️
S-RM confirmó que los actores de la amenaza utilizaron el sistema operativo Linux de la webcam para montar los shares de red SMB de los otros dispositivos de la empresa.
Luego lanzaron el encriptador de Linux en la webcam y lo usaron para encriptar los shares de la red a través de SMB, eludiendo efectivamente el software EDR en la red.
“Como el dispositivo no estaba siendo monitoreado, el equipo de seguridad de la organización víctima no estaba al tanto del aumento del tráfico malicioso de SMB desde la webcam al servidor afectado, lo que de otro modo podría haberles alertado”, explica S-RM.
Akira pudo encriptar archivos a través de toda la red de la víctima.
Recomendaciones
Existen parches disponibles para las fallas de la webcam, lo que significa que el ataque, al menos a través de este vector, era evitable.
Este caso muestra que la protección EDR no es una solución de seguridad infalible y las organizaciones no deben depender exclusivamente de ella para protegerse contra los ataques.
Además, los dispositivos IoT no son tan monitoreados y mantenidos como las computadoras, pero aún representan un riesgo significativo.
Por lo tanto, estos dispositivos deberían estar aislados de las redes más sensibles, como servidores de producción y estaciones de trabajo.
De igual importancia, todos los dispositivos incluidos los de IoT, deben tener su firmware actualizado regularmente para parchear fallas conocidas que puedan ser explotadas en ataques.