Grupo de ransomware Akira elude EDR por medio de una cámara web

La empresa de ciberseguridad S-RM ha dado a conocer una nueva táctica de explotación utilizada por el grupo de hackers Akira. En ella se implementó un ransomware mediante una cámara web, y eludiendo el sistema de protección EDR (más conocido antiguamente como antivirus). El incidente fue analizado por la propia empresa S-RM, mientras monitorizaba la red privada de su cliente, víctima de este ataque.

En un primer paso, Akira había accedido al equipo servidor de la víctima por medio de la explotación del servicio de escritorio remoto de Windows. Una vez ganado el acceso, se descarga un archivo ZIP que contiene el binario con el ransomware. En ese momento, el EDR desplegado en el servidor detecta la descarga del archivo y pone en cuarentena el binario identificado como ransomware.

Anulado este primer intento, el atacante escanea la red interna y encuentra una cámara web que tiene un sistema Linux vulnerable y sin protección. De esta forma, obtiene acceso a la cámara y despliega el ransomware. Como este dispositivo no estaba siendo monitorizado, el equipo de seguridad de la organización víctima no se percató del aumento del tráfico malicioso desde la cámara web, lo cual permitió el cifrado de archivos en el servidor eludiendo la protección del EDR.

Debido a este este incidente, se deja constancia de los riesgos derivados de la falta de supervisión y mantenimiento de dispositivos IoT, y de la necesidad de aislar y segmentar las redes para dificultar que los atacantes tengan acceso a equipos más sensibles de la organización.