O grupo de ransomware Akira encontrou uma forma inovadora de contornar os sistemas de defesa cibernética de uma empresa: utilizando uma webcam vulnerável para criptografar arquivos sem ser detectado. A descoberta foi feita pela empresa de segurança S-RM, que investigava um ataque recente a um cliente. Os criminosos ganharam acesso à rede da empresa explorando um sistema remoto exposto, possivelmente utilizando credenciais roubadas ou ataques de força bruta. Após invadir o ambiente, implantaram o AnyDesk, um software legítimo de acesso remoto, para movimentação lateral e exfiltração de dados, preparando o ataque de dupla extorsão – onde além de criptografar os arquivos, os hackers ameaçam divulgar informações roubadas.

No entanto, ao tentar executar o ransomware diretamente nos sistemas Windows da empresa, a solução de Endpoint Detection and Response (EDR) conseguiu bloquear a ameaça. Diante da dificuldade, os invasores começaram a procurar dispositivos menos protegidos na rede e identificaram uma webcam e um scanner de impressão digital conectados ao sistema. A webcam se tornou o ponto de ataque ideal, pois executava um sistema operacional baseado em Linux, compatível com o criptografador do Akira. Além disso, o dispositivo não possuía um agente de EDR, tornando-se um alvo perfeito para um ataque discreto.

Os criminosos exploraram falhas de segurança para acessar remotamente o shell do sistema e, a partir da webcam, montaram compartilhamentos SMB dos dispositivos Windows para lançar o ransomware, criptografando arquivos sem que o ataque fosse detectado. A investigação revelou que existiam patches disponíveis para corrigir as falhas da webcam, indicando que a empresa poderia ter evitado o ataque com atualizações de firmware. O caso evidencia a necessidade de não depender exclusivamente de soluções EDR, pois dispositivos conectados, como câmeras de segurança e scanners, podem servir como porta de entrada para invasores.