Pesquisadores revelaram novos detalhes sobre os ataques do grupo por trás do ransomware Akira, que vem causando prejuízos significativos a empresas em diferentes setores. A técnica mais recente utilizada pelos criminosos chamou atenção: eles exploraram códigos de recuperação de MFA armazenados de forma incorreta para invadir consoles de segurança e desabilitar agentes de detecção e resposta (EDR).
O caso aconteceu quando um engenheiro de segurança guardou os códigos de recuperação em texto simples, em um arquivo facilmente identificável. Os atacantes encontraram o documento, usaram os códigos para burlar a autenticação multifator e acessar o console da empresa. Com isso, conseguiram remover sistemas isolados, fechar incidentes em andamento e até desinstalar agentes de segurança, ampliando o impacto do ataque.
Além dessa exploração, os afiliados do Akira têm se mostrado altamente adaptáveis. Eles utilizam desde vulnerabilidades conhecidas em firewalls SonicWall até ferramentas legítimas como AnyDesk, WinRAR e Advanced IP Scanner para manter persistência e movimentação lateral dentro dos ambientes comprometidos.
O incidente reforça um ponto crítico: credenciais e códigos de recuperação devem ser tratados com o mesmo nível de proteção de senhas privilegiadas. Armazená-los de forma insegura equivale a deixar a porta destrancada para os criminosos.
Dica de prevenção
Empresas devem armazenar códigos de recuperação apenas em cofres digitais criptografados, nunca em arquivos de texto ou dispositivos não protegidos. Além disso, é essencial centralizar a gestão de MFA em soluções seguras, que garantam backup automático, criptografia de ponta a ponta e controle de acesso.
O ataque do Akira mostra como pequenas falhas podem gerar grandes brechas de segurança. Para proteger sua empresa contra riscos semelhantes, conheça o MFA Vault da MFA2GO, solução em nuvem que simplifica a gestão de autenticação multifator e reduz drasticamente o risco de acessos não autorizados. Saiba mais em mfa2go.com.
Compartilhe nas redes sociais:
