SecAtor

Исследователи S-RM обнаружили необычный метод атаки вымогателей Akira в ходе недавнего реагирования на инцидент у одного из своих клиентов.

Операторы Akira задействовали незащищенную веб-камеру для запуска атак шифрования на сеть жертвы, эффективно обходя EDR.

При этом хакеры переключилисль на нее после попыток развернуть шифровальщики в Windows, где были заблокированы EDR.

Первоначально злоумышленники получили доступ к корпоративной сети через уязвимое решение удаленного доступа в целевой компании, вероятно, воспользовавшись украденными учетными данными или с помощью брута.

Получив доступ, они развернули AnyDesk и смогли выкрасть корпоративные данные у компании для их дальнейшего использования в рамках двойного вымогательства.

Затем операторы ransomware использовали RDP для горизонтального перемещения и расширения присутствия в системах, прежде чем развернуть вредоносную ПО-вымогатель.

В конце концов злоумышленники загрузили защищенный паролем ZIP-файл (win.zip), содержащий вредоносную ПО (win.exe), но инструмент EDR жертвы обнаружил его и отправил в карантин, по сути заблокировав атаку.

После этого Akira исследовали альтернативные пути атаки, просканировав сеть на предмет других устройств, которые можно было бы использовать для шифрования файлов. Нашлась веб-камера и сканер отпечатков пальцев.

Исследователи S-RM полагают, что злоумышленники выбрали именно веб-камеру, поскольку она была уязвима для удаленного доступа к оболочке и несанкционированного просмотра видеопотока.

Более того, устройство работала на ОС на базе Linux, совместимой с Linux-шифровальщиком от Akira, при этом не имея агента EDR, что делало его оптимальным для удаленного шифрования файлов на сетевых ресурсах.

Злоумышленники использовали ОС Linux веб-камеры для монтирования сетевых ресурсов Windows SMB других устройств компании, после чего запустили шифратор Linux на веб-камере и задействовали его для шифрования сетевых ресурсов по SMB, эффективно обходя ПО EDR в сети. 

Поскольку устройство не отслеживалось, служба безопасности пострадавшей организации не знала об увеличении вредоносного трафика SMB с камеры на пораженный сервер, что в противном случае могло бы им очень помочь.

Но не помогло - Akira зашифровала файлы в сети жертвы.

Этот инцидент показывает, что защита EDR не является всеобъемлющим решением с точки зрения обеспечения безопасности, и полагаться велело на нее для защиты от атак не следует.

Кроме того, устройства Интернета вещей не так тщательно контролируются и обслуживаются, как компьютеры, но тем не менее несут значительные риски.

В связи с этим такие устройства следует изолировать от более уязвимых сетей, включая производственные серверы и рабочие станции.

Не менее важны регулярные обновления их прошивок для исправления известных уязвимостей, которые могут быть использованы в атаках. В описанной ситуации - этот процесс упустили.

S-Rminform

Camera off: Akira deploys ransomware via webcam

Learn how Akira ransomware exploited an unsecured webcam to bypass cybersecurity measures and deploy ransomware, highlighting key lessons and strategies for improved IoT security.

www.tgoop.com/true_secator/6817

6.2K viewsMar 7 at 13:43

Исследователи S-RM обнаружили необычный метод атаки вымогателей Akira в ходе недавнего реагирования на инцидент у одного из своих клиентов.

Операторы Akira задействовали незащищенную веб-камеру для запуска атак шифрования на сеть жертвы, эффективно обходя EDR.

При этом хакеры переключилисль на нее после попыток развернуть шифровальщики в Windows, где были заблокированы EDR.

Первоначально злоумышленники получили доступ к корпоративной сети через уязвимое решение удаленного доступа в целевой компании, вероятно, воспользовавшись украденными учетными данными или с помощью брута.

Получив доступ, они развернули AnyDesk и смогли выкрасть корпоративные данные у компании для их дальнейшего использования в рамках двойного вымогательства.

Затем операторы ransomware использовали RDP для горизонтального перемещения и расширения присутствия в системах, прежде чем развернуть вредоносную ПО-вымогатель.

В конце концов злоумышленники загрузили защищенный паролем ZIP-файл (win.zip), содержащий вредоносную ПО (win.exe), но инструмент EDR жертвы обнаружил его и отправил в карантин, по сути заблокировав атаку.

После этого Akira исследовали альтернативные пути атаки, просканировав сеть на предмет других устройств, которые можно было бы использовать для шифрования файлов. Нашлась веб-камера и сканер отпечатков пальцев.

Исследователи S-RM полагают, что злоумышленники выбрали именно веб-камеру, поскольку она была уязвима для удаленного доступа к оболочке и несанкционированного просмотра видеопотока.

Более того, устройство работала на ОС на базе Linux, совместимой с Linux-шифровальщиком от Akira, при этом не имея агента EDR, что делало его оптимальным для удаленного шифрования файлов на сетевых ресурсах.

Злоумышленники использовали ОС Linux веб-камеры для монтирования сетевых ресурсов Windows SMB других устройств компании, после чего запустили шифратор Linux на веб-камере и задействовали его для шифрования сетевых ресурсов по SMB, эффективно обходя ПО EDR в сети. 

Поскольку устройство не отслеживалось, служба безопасности пострадавшей организации не знала об увеличении вредоносного трафика SMB с камеры на пораженный сервер, что в противном случае могло бы им очень помочь.

Но не помогло - Akira зашифровала файлы в сети жертвы.

Этот инцидент показывает, что защита EDR не является всеобъемлющим решением с точки зрения обеспечения безопасности, и полагаться велело на нее для защиты от атак не следует.

Кроме того, устройства Интернета вещей не так тщательно контролируются и обслуживаются, как компьютеры, но тем не менее несут значительные риски.

В связи с этим такие устройства следует изолировать от более уязвимых сетей, включая производственные серверы и рабочие станции.

Не менее важны регулярные обновления их прошивок для исправления известных уязвимостей, которые могут быть использованы в атаках. В описанной ситуации - этот процесс упустили.

BY SecAtor