Атака через IoT: группа Akira обошла EDR-защиту

Источник: www.s-rminform.com
Недавний инцидент, описанный командой S-RM, показывает, как группа программ-вымогателей Akira применила новые тактики для обхода средств обнаружения конечных точек и реагирования на них (EDR). Злоумышленники использовали слабые места в устройствах Интернета вещей (IoT), а именно в веб-камерах, чтобы захватить доступ к критически важным системам организаций.
Методы атаки Akira
В процессе атаки Akira сначала проникла в сеть жертвы, используя решение удаленного доступа, доступное извне. Затем они развернули законный инструмент удаленного управления, AnyDesk.exe, для обеспечения постоянного доступа перед удалением конфиденциальных данных. Однако инструмент EDR жертвы смог помешать многим попыткам развертывания программы-вымогателя, предотвратив запуск вредоносного ПО.
Использование уязвимых устройств IoT
Поняв ограничения EDR, злоумышленник решил воспользоваться уязвимой веб-камерой, которая была ранее выявлена при сканировании внутренней сети. Эта веб-камера обладала:
- Критическими уязвимостями, включая возможности удаленной оболочки;
- Отсутствием установленного EDR из-за облегченной операционной системы Linux.
Это сделало веб-камеру уязвимой для программ-вымогателей Akira на базе Linux. Злоумышленник применил протокол блокировки серверных сообщений (SMB) для распространения вредоносного ПО, что позволило шифровать файлы в сети жертвы без немедленного срабатывания сигнализации.
Адаптация и новая сложность угроз
Стратегия Akira подчеркивает, как хакеры могут использовать, на первый взгляд, незначительные устройства для получения доступа к критически важным системам. Это также выявляет слабые места в мерах кибербезопасности многих организаций. Наиболее распространенные практики управления исправлениями часто игнорируют устройства IoT, несмотря на их потенциал как векторов атак.
Кроме того, переход Akira от Rust к C++ при разработке программ-вымогателей свидетельствует об адаптивности группы и усиливающейся сложности программ-вымогателей как услуг (RaaS), что позволяет им функционировать как в среде Windows, так и в среде Linux.
Рекомендации по повышению кибербезопасности
Чтобы снизить риски, связанные с подобными атаками, организациям рекомендуется:
- Внедрять надежный мониторинг сетевого трафика с устройств IoT;
- Регулярно проводить внутренние аудиты для выявления уязвимостей в системе безопасности;
- Поддерживать строгие методы управления исправлениями;
- Сегментировать сети, чтобы изолировать устройства IoT;
- Ограничивать коммуникационные возможности устройств IoT;
- Заменять пароли по умолчанию на безопасные альтернативные.
Применение этих мер поможет обеспечить более надежную защиту от возможного использования слабых звеньев в инфраструктуре безопасности организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



