Gruparea ransomware Akira a reușit să cripteze sistemele unei companii prin compromiterea unei camere web pentru a evita soluția de detectare și răspuns la amenințări (EDR – endpoint detection and response) instalată.

Hackerii au încercat inițial să execute malware-ul pe un server Windows sub camuflajul unei arhive ZIP protejată cu o parolă, în interiorul căreia se afla binarul ransomware (win.exe).

Soluția EDR însă a detectat amenințarea imediat și a blocat atacul, punând fișierul malițios în carantină înainte să fie dezarhivat și executat.

Atacatorul nu s-a descurajat și a recurs la o nouă abordare, în care s-a folosit de detaliile adunate în etapa de recunoaștere a rețelei pentru a identifica dispozitivele existente.

Punctul slab, un dispozitiv IoT

Experții de la compania de consultanță în securitate cibernetică S-RM au analizat atacul și au determinat că în urma scanării rețelei, Akira a găsit mai multe dispozitive IoT (Internet of Things), printre care camere web și un scanner de amprente.

“Aceste dispozitive au oferit actorului amenințării o oportunitate de a evita instrumentul EDR și de a implementa ransomware-ul cu succes,” spun experții S-RM.

Camera web aleasă pentru continuarea atacului era afectată de câteva vulnerabilități critice ce permiteau vizualizarea fluxului video și accesul de la distanță (remote shell).

În plus, dispozitivul rula o versiune de Linux ce suporta executarea de comenzi, făcându-l candidatul potrivit pentru varianta de Linux a ransomware-ului Akira.

Un alt motiv pentru succesul atacului prin camera web compromisă este că era neprotejată de soluția EDR, care în general se instalează pe sisteme cu mai mult spațiu de stocare.

Pentru că nu exista monitorizare pe dispozitiv, atacatorul a putut lansa cripto-malware-ul și să încarce volumele din rețea partajate de alte dispozitive.

Astfel, organizația victimă nu a putut observa o creștere în traficul Server Message Block (SMB) dinspre camera web spre serverul vizat, lăsând cale liberă criptării fișierelor din toată rețeaua.

Înainte de schimbarea direcției atacului, Akira a urmat pașii binecunoscuți de grupare și a pătruns în rețea printr-o soluție de acces la distanță expusă la internetul public.

Odată rețeaua vizată compromisă, hackerii au instalat aplicația AnyDesk pentru monitorizare și administrare de la distanță pentru a menține accesul până la exfiltrarea datelor.

Gruparea ransomware Akira a apărut în martie 2023 și la 1 ianuarie 2025 atacase cel puțin 250 de organizații din toate domeniile și geografiile. Printre victimele de anul trecut se numără Universitatea Stanford, Nissan Oceania și Nissan Australia.

Conform datelor S-RM, hackerii de la Akira sunt responsabili pentru 15% din toate incidentele la care au răspuns experții companiei.

Atacatorul și afiliații săi cer recompense de cel puțin $200.000, și care pot ajunge la milioane de dolari. Un raport al guvernului american din aprilie anul trecut menționează că gruparea Akira a colectat aproximativ $42 milioane.

Metode de protecție

Experții S-RM propun câteva metode de protecție ce pot îngreuna munca atacatorilor, deși varianta aleasă de Akira poate reprezenta o provocare pentru companii.

În cazul dispozitivelor IoT, organizațiile ar trebui să monitorizeze traficul generat de acestea și să detecteze anomaliile.

De asemenea, încă sunt valide recomandările clasice precum izolarea dispozitivelor pe diferite segmente de rețea în funcție de importanța lor sau restricționarea comunicării pe anumite porturi și adrese IP.

Un audit regulat al dispozitivelor conectate la rețeaua internă ar putea identifica punctele slabe ce ar putea fi exploatate de atacatori.

Recomandările tradiționale de a instala ultimele actualizări pe dispozitive, schimbarea parolelor implicite și închiderea sistemelor care nu sunt folosite rămân valabile.