Relatório da S-RM revela tática inovadora do ransomware Akira, que usou uma câmera desprotegida para criptografar uma rede corporativa.
Um relatório recente da empresa de segurança cibernética S-RM expôs uma tática surpreendente do grupo de ransomware Akira, que conseguiu burlar ferramentas de Detecção e Resposta de Endpoint (EDR) ao comprometer uma webcam desprotegida. O incidente, detalhado em 5 de março de 2025, demonstra a evolução das estratégias de cibercriminosos, que exploram dispositivos IoT (Internet das Coisas) para contornar defesas tradicionais e criptografar redes corporativas. Desde 2023, o Akira já faturou US$ 42 milhões em 250 ataques, segundo a CISA e o FBI, e esse caso reforça sua capacidade de adaptação.
O Ataque Passo a Passo
O ataque começou de forma convencional: o Akira obteve acesso inicial à rede da vítima por meio de uma solução de acesso remoto exposta, possivelmente com credenciais roubadas ou força bruta. Uma vez dentro, os criminosos instalaram o AnyDesk — um software legítimo de acesso remoto — para manter persistência e exfiltrar dados sensíveis, prática comum em sua estratégia de dupla extorsão. Usando o protocolo RDP (Remote Desktop Protocol), eles se moveram lateralmente pela rede, preparando o terreno para o ransomware.
A tentativa inicial de implantar o ransomware veio em um arquivo ZIP protegido por senha (win.zip), contendo o executável malicioso (win.exe). No entanto, a ferramenta EDR da vítima detectou e quarentenou o binário, bloqueando a execução em sistemas Windows. “Isso inibiu a capacidade do Akira de espalhar o código malicioso pelo ambiente”, diz o relatório da S-RM. Frustrados, os atacantes realizaram uma varredura interna da rede e identificaram dispositivos vulneráveis, incluindo uma webcam e um scanner de impressões digitais.
A webcam, rodando um sistema operacional Linux leve, tornou-se o pivô do ataque. Sem monitoramento ou agente EDR instalado, o dispositivo apresentava falhas críticas, como acesso remoto via shell e visualização não autorizada do feed de vídeo. O Akira explorou essas vulnerabilidades para implantar uma variante Linux de seu ransomware, usando o protocolo SMB (Server Message Block) para montar compartilhamentos de rede Windows e criptografar arquivos remotamente. “Como o dispositivo não era monitorado, o tráfego malicioso passou despercebido”, destacou a S-RM, permitindo a criptografia completa da rede.
Um Alvo Improvável, Um Risco Real
O uso de uma webcam como vetor de ataque sublinha uma lacuna significativa na segurança corporativa: dispositivos IoT frequentemente escapam das políticas de proteção aplicadas a servidores e estações de trabalho. A S-RM confirmou que havia patches disponíveis para as vulnerabilidades da câmera, mas eles não foram aplicados, tornando o incidente evitável. Esse descuido permitiu ao Akira, que respondeu por 15% dos casos atendidos pela S-RM em 2024, contornar um sistema EDR que, embora eficaz contra ameaças em Windows, não abrangia dispositivos Linux ou IoT.
O grupo, conhecido por sua versatilidade — opera em Windows e Linux e evoluiu de Rust para C++ —, já havia demonstrado criatividade em ataques anteriores, como o uso do AnyDesk e a exploração de falhas como a CVE-2024-40766 em VPNs SonicWall. Aqui, a webcam serviu como um ponto cego perfeito: sem monitoramento ativo, o tráfego SMB malicioso gerado a partir dela não disparou alertas, garantindo o sucesso do ataque.
Lições e Recomendações
O caso reforça que o EDR, embora essencial, não é uma solução completa. “Organizações não podem depender exclusivamente dele”, alerta a S-RM. Dispositivos IoT, como câmeras e scanners, representam riscos significativos se não forem protegidos adequadamente. Especialistas recomendam:
- Segmentação de Rede: Isolar dispositivos IoT de redes sensíveis, como servidores de produção, usando VLANs ou subnets distintas.
- Atualizações Regulares: Aplicar patches de firmware em todos os dispositivos conectados para corrigir vulnerabilidades conhecidas.
- Monitoramento Abrangente: Implementar soluções como XDR (Extended Detection and Response) para cobrir dispositivos além dos endpoints tradicionais.
- Controle de Acesso: Desativar serviços desnecessários em IoT e usar autenticação forte para soluções de acesso remoto.
O ataque do Akira via webcam é um alerta para empresas em setores como manufatura e saúde, onde dispositivos IoT são comuns. Enquanto o grupo continua lucrando — com uma média de US$ 3,5 milhões mensais —, a lição é clara: a segurança precisa evoluir tão rápido quanto as táticas dos criminosos.
Texto baseado no relatório da S-RM e informações complementares da CISA, revisado pela nossa redação.
