Recentemente, especialistas em segurança digital identificaram um caso preocupante envolvendo um ataque de ransomware que surpreendeu pela estratégia incomum utilizada pelo grupo criminoso Akira. De acordo com um relatório detalhado publicado pela empresa de segurança cibernética S-RM, o ataque teve origem em um dispositivo inesperado: uma câmera desprotegida dentro da rede corporativa. Esse evento destaca a necessidade urgente de ampliar a proteção para dispositivos frequentemente ignorados.
Exploração inicial com uso do AnyDesk
Inicialmente, os invasores conseguiram acessar a rede da empresa por meio de uma solução de acesso remoto exposta, explorando possivelmente credenciais roubadas ou senhas fracas. Ao entrarem no ambiente corporativo, o grupo Akira adotou uma estratégia inteligente ao instalar uma ferramenta legítima chamada AnyDesk. Essa aplicação, bastante utilizada para o acesso remoto, permitiu aos invasores operarem sem levantar suspeitas imediatas, facilitando o roubo dos dados confidenciais da empresa.
Ataque de ransomware: a estratégia da extorsão dupla
Após garantirem acesso aos dados sensíveis, os criminosos passaram à segunda etapa da ação, conhecida como extorsão dupla. Nesse modelo de ataque, além de criptografar os arquivos da vítima com ransomware, os cibercriminosos ameaçam divulgar publicamente informações sensíveis, pressionando assim a empresa para pagar um resgate.
Contorno das medidas de segurança através de câmera desprotegida
A ferramenta de segurança da empresa, conhecida como EDR (Endpoint Detection and Response), conseguiu identificar e colocar em quarentena o ransomware antes que ele fosse totalmente implantado, bloqueando temporariamente o ataque. Porém, o grupo Akira não desistiu diante desse obstáculo. Demonstrando persistência, os invasores realizaram uma varredura na rede e descobriram uma câmera desprotegida conectada ao sistema corporativo.
Essa câmera não possuía monitoramento adequado, permitindo que o tráfego malicioso circulasse sem detecção pela segurança interna. Com o acesso comprometido desse dispositivo, o ransomware Akira conseguiu se estabelecer novamente na rede corporativa, ignorando totalmente as medidas tradicionais de proteção implementadas pelo EDR.
Uso do RDP para movimentação lateral
Outro ponto relevante citado no relatório da S-RM foi o uso do protocolo RDP (Área de Trabalho Remota) pelos invasores. O RDP permitiu ao grupo criminoso mover-se lateralmente pela rede, alcançando sistemas adicionais antes de realizar a implantação definitiva do ransomware. O movimento lateral por meio de RDP é um método amplamente utilizado em ataques cibernéticos e, portanto, merece atenção especial das equipes de segurança.
Vulnerabilidades adicionais identificadas
Além da câmera, um scanner conectado à mesma rede também estava vulnerável. Embora nesse caso específico o scanner não tenha sido o vetor direto do ataque, sua presença indica uma clara vulnerabilidade adicional que poderia ter sido explorada, aumentando ainda mais o risco enfrentado pela empresa.
Recomendações essenciais de segurança digital
O episódio demonstra como dispositivos aparentemente inofensivos, como webcams e scanners, podem se transformar em pontos críticos de vulnerabilidade dentro de uma rede corporativa. Por isso, especialistas recomendam que todos os dispositivos conectados sejam protegidos com protocolos rígidos de segurança, incluindo autenticação forte e monitoramento contínuo do tráfego.
Empresas que mantêm soluções de acesso remoto precisam redobrar os cuidados ao gerenciar credenciais e adotar autenticação multifator (MFA) como medida preventiva obrigatória. Outro ponto é a constante atualização e monitoramento dos sistemas de detecção e resposta de endpoint (EDR), garantindo que nenhum ponto cego possa ser explorado pelos atacantes.
É importante ainda ressaltar que dispositivos periféricos, como câmeras, scanners e impressoras, frequentemente não recebem atenção adequada quanto à segurança digital. Esses aparelhos, quando negligenciados, tornam-se pontos frágeis da rede e oferecem oportunidades claras para ataques de ransomware.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
