Investigadores de seguridad han identificado una operación del grupo de ransomware Akira en la que la banda ha estado explotando una webcam no segura para ejecutar ataques de cifrado en la red de una víctima.
Su hallazgo se hizo durante una reciente respuesta a un incidente en una de sus empresas, según se hace eco iZoologic.
Esta campaña es capaz de omitir el endpoint de detección y respuesta de amenazas (EDR) que impedía el cifrado en Windows.
Parece que la banda solo tuvo que cambiar a la webcam tras intentar instalar encriptadores de Windows, lo que la solución EDR de la víctima evitó.
Por otro lado, se cree que Akira obtuvo inicialmente acceso a la red corporativa mediante una solución de acceso remoto expuesta en la organización objetivo. Esto lo habría conseguido mediante el uso de tácticas de fuerza bruta o a través de credenciales previamente robadas.
Una vez dentro se sirvieron de la aplicación de acceso remoto AnyDesk para robar los datos de la compañía en un ataque de doble extorsión.
Posteriormente, Akira usó el Protocolo de Escritorio Remoto (RDP) para moverse lateralmente y establecer su persistencia en tantos sistemas como fuera posible antes de liberar la carga útil del ransomware.
En un principio el grupo dejó caer un archivo ZIP protegido por contraseña que contenía la carga útil del ransomware, pero el programa EDR de la víctima lo detectó y puso en cuarentena.
Después, Akira investigó nuevos vectores de ataque, comprobó la red en busca de otros dispositivos que pudieran usarse para cifrar los datos y halló una webcam y un escáner de huellas digitales.
Los investigadoes creen que el grupo optó por la cámara web al ser susceptible de acceso remoto de shell y de la monitorización ilegal de la transmición de vídeo. Esta carecía de un EDR, haciéndola ideal para cifrar archivos de forma remota. Además, usaba un sistema operativo basada en Linux, que era compatible con el encriptador de Akira.
Una de las bandas de ransomware más activas
Akira fue uno de los grupos de ransomware más activos de 2024. En concreto, fue la cuarta banda más prolífica, con 315 infracciones. También se hizo con el record del mayor número de víctimas en un solo día.
El colectivo de ciberdelincuentes ha tenido recientemente en su foco a víctimas españolas, como Proyectos y Seguros SA, Grupo de Protección y Seguridad 909, Arcusin, empresa dedicada a la fabricación de maquinación agrícola y la firma de marroquinería Paco Martínez.
Este grupo pro-ruso ha perpetrado algunos ataques de ransomware bastante 'letales' en los últimos años, como el que llevó al cierre a la firma británica Knights of Old, una de las tres compañías que formaban el gigante logístico KNP y que contaba con 150 años de vida. También atacaron a la firma de cosméticos Lush.