Эксперты компании S-RM Intelligence and Risk Consulting провели анализ атаки Akira на одного из клиентов и обнаружили интересную уязвимость. Злоумышленникам удалось внедрить шифровальщика в сеть, минуя защитные механизмы, благодаря уязвимости в веб-камере, которая не была обновлена и не имела установленного агента EDR (системы обнаружения и реагирования на угрозы).
Первоначальный доступ к целевой сети был получен через взлом решения для удалённого доступа. Предположительно, для этого использовались украденные учетные данные или метод брутфорса. После проникновения в сеть, хакеры развернули AnyDesk для обеспечения постоянного доступа и начали красть данные, которые планировали использовать для шантажа жертвы, угрожая их публикацией.
Для дальнейшего распространения по сети злоумышленники использовали RDP (удалённый рабочий стол), что позволяло им перемещаться внутри инфраструктуры. Однако, когда они попытались развернуть шифровальщик Akira для Windows, их попытки были заблокированы системой EDR, установленной на целевых устройствах. Тогда хакеры решили искать альтернативные пути обхода защиты и обнаружили несколько уязвимых IoT-устройств в сети.
В конечном итоге они выбрали веб-камеру, на которой были несколько известных уязвимостей. Патчи для этих уязвимостей уже существовали, но по какой-то причине они не были установлены. Веб-камера использовала облегчённую версию Linux, которая была совместима с шифратором Akira, предназначенным для Linux-систем. Хакеры захватили контроль над веб-камерой, подключили SMB-ресурсы Windows и начали шифровать данные в сетевых папках.
Этот трюк оказался успешным, потому что веб-камера не находилась под мониторингом EDR, и служба информационной безопасности не смогла заметить аномально высокий уровень исходящего SMB-трафика от устройства.
Источник: anti-malware.ru
Russian
Belarusian
English