Слабое звено: IoT-камера позволила вымогателям обойти EDR-защиту

Группировка вымогателей Akira применила нестандартный метод атаки, задействовав незащищённую веб-камеру для обхода защиты и шифрования данных в сети жертвы. Этот способ позволил киберпреступникам обойти систему Endpoint Detection and Response ( EDR ), блокировавшую запуск шифровальщика на Windows.

Как выяснили специалисты компании S-RM, злоумышленники проникли в корпоративную сеть через уязвимость в удалённом доступе. Для взлома пароля они, вероятно, использовали украденные учётные данные или метод перебора. Получив доступ, хакеры установили легитимную программу AnyDesk и начали перемещаться по сети, распространяя своё присутствие.

Затем киберпреступники попытались запустить вредоносный файл с шифровальщиком, спрятанный в архиве, но защитная система жертвы успешно обнаружила и заблокировала его. Однако вместо отказа от атаки злоумышленники перешли к альтернативным методам компрометации. Они просканировали сеть в поисках устройств, которые можно было бы использовать для обхода защиты, и нашли веб-камеру, работавшую на Linux.

Это устройство оказалось уязвимым для удалённого доступа и не имело установленного EDR-агента. Кроме того, его операционная система поддерживала Linux-версию шифровальщика Akira. Поэтому злоумышленники подключились к веб-камере, использовали её для монтирования SMB-ресурсов Windows и запустили шифрование данных на сетевых дисках. В результате атакующие смогли обойти систему безопасности и зашифровать файлы на серверах жертвы.

Эксперты S-RM подчеркнули, что веб-камера имела доступные обновления прошивки, устраняющие брешь, но они не были установлены, что и сделало эту атаку возможной. Данный случай показывает, что EDR-защита не может гарантировать полную безопасность, если в сети остаются уязвимые IoT-устройства. Чтобы предотвратить подобные атаки, важно своевременно обновлять прошивку всех устройств, а IoT-оборудование изолировать от критически важных сегментов сети.