Взломщики используют незащищенную веб-камеру для проведения кибератаки

Компания S-RM описала, как компания стала жертвой группировки вымогателей Akira. Несмотря на использование решения для обнаружения и реагирования на угрозы (EDR), в сети имелся незащищенный веб-камера. Веб-камера позволила Akira развернуть шифровальщик на базе Linux.

Киберпреступники из группировки вымогателей Akira использовали неsecured веб-камеру для запуска атаки и шифрования целевой сети компании. Как сообщили специалисты по кибербезопасности из S-RM, угроза была запущена через удаленный доступ. Преступники получили доступ к решению для удаленного доступа, либо путем подбора паролей, либо купив учетные данные на черном рынке.

Затем они установили AnyDesk для перехода к другим устройствам в сети и устанавливали устойчивость присутствия, а также собирали конфиденциальные данные. При попытке развернуть шифровальщик для Windows их остановил EDR механизм компании.

Наткнувшись на эту преграду, Akira искали другие устройства вне поля зрения EDR и нашли веб-камеру с уязвимостью к удаленному доступу. Эта веб-камера работала под управлением операционной системы Linux, что позволило группировке использовать шифровальщик на базе Linux.

По словам S-RM, Akira использовали веб-камеру для монтирования сетевых общедоступных ресурсов (SMB) других устройств компании. Затем они шифровали эти ресурсы через SMB, успешно обходя EDR. Так как устройство не контролировалось, команда безопасности компании не знала о повышении объема злонамеренного трафика Server Message Block от веб-камеры до затронутого сервера, что могло бы их предупредить, — сообщили в S-RM.

Кроме того, S-RM подтвердили, что для исправления уязвимости веб-камеры существовала патч, означая, что весь инцидент можно было избежать с помощью своевременного обновления. Другие детали не раскрывались, поэтому остается неизвестным, кто были жертвами, или какие типы файлов Akira похитили в этом нападении.

Также неизвестно, выплатила ли компания выкуп, и попала ли украденная информация на даркнет. Помимо знаменитой LockBit, Akira остается одной из крупнейших угроз для шифровальных атак, поэтому пользователям следует быть бдительными.

Компания S-RM также подчеркивает важность своевременного обновления и мониторинга всех устройств в сети.