Eslabón débil: la cámara IoT permitió que el ransomware eludiera la protección EDR

Ciberataques Akira Windows Linux EDR SMB IoT S-RM ciberataque cámara web ransomware
Eslabón débil: la cámara IoT permitió que el ransomware eludiera la protección EDR
Ciberataques Akira Windows Linux EDR SMB IoT S-RM ciberataque cámara web ransomware

Cómo un solo dispositivo vulnerable derribó todo el sistema de seguridad.

image

La agrupación de ransomware Akira utilizó un método de ataque no convencional, aprovechando una cámara web no protegida para eludir la seguridad y cifrar datos en la red de la víctima. Este método permitió a los ciberdelincuentes evadir el sistema de Endpoint Detection and Response (EDR), que bloqueaba la ejecución del ransomware en Windows.

Según descubrieron los especialistas de la empresa S-RM, los atacantes accedieron a la red corporativa a través de una vulnerabilidad en el acceso remoto. Para descifrar la contraseña, probablemente utilizaron credenciales robadas o un método de fuerza bruta. Una vez obtenida la entrada, los hackers instalaron el programa legítimo AnyDesk y comenzaron a desplazarse por la red, ampliando su presencia.

Posteriormente, los ciberdelincuentes intentaron ejecutar un archivo malicioso con ransomware, oculto en un archivo comprimido, pero el sistema de seguridad de la víctima lo detectó y bloqueó con éxito. Sin embargo, en lugar de abandonar el ataque, los atacantes recurrieron a métodos alternativos de compromiso. Escanearon la red en busca de dispositivos que pudieran utilizar para eludir la seguridad y encontraron una cámara web que operaba con Linux.

Este dispositivo resultó ser vulnerable al acceso remoto y no tenía instalado un agente EDR. Además, su sistema operativo era compatible con la versión de ransomware Akira para Linux. Por ello, los atacantes se conectaron a la cámara web, la utilizaron para montar recursos SMB de Windows y activaron el cifrado de datos en las unidades de red. Como resultado, los atacantes lograron evadir el sistema de seguridad y cifrar los archivos en los servidores de la víctima.

Los expertos de S-RM destacaron que la cámara web tenía disponibles actualizaciones de firmware que corregían la vulnerabilidad, pero no habían sido instaladas, lo que permitió que este ataque fuera posible. Este caso demuestra que la protección EDR no puede garantizar una seguridad completa si en la red quedan dispositivos IoT vulnerables. Para prevenir ataques de este tipo, es crucial actualizar el firmware de todos los dispositivos a tiempo y aislar los equipos IoT de los segmentos críticos de la red.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!

Noticias sobre el tema

"¿Permitir acceso?": Hackers usan la funcionalidad legítima de Zoom contra los inversores en criptomonedas

Cookie-Bite: Su MFA fue hackeado a través de una cookie. Sí, el del navegador

Minería sin minería, pero con 63 capas de ofuscación: ¿qué intentan lograr los hackers?

¿Estás utilizando la biblioteca "xrpl.js"? Bueno, parece que tienes grandes problemas.

0day en WinZip: Los virus ahora pasan sin previo aviso

Metagoofil: una potente herramienta OSINT para que Kali extraiga metadatos

Techno Riot: Tu viejo smartphone 4G acaba de provocar un apocalipsis DDoS

«¡Y no dolió nada!» — el 40 % de las tardígradas quedó satisfecho con el primer nanotatuaje del mundo

Curing el rootkit es como el coronavirus en Linux: infeccioso, oculto y sin vacuna