Webekamerával megkerült EDR védelem
Az S-RM elemzés szerint az Akira zsarolóvírus-csoport új módszert alkalmazott egy támadás során, ahol egy nem védett webkamerát használtak fel a zsarolóvírus telepítésére, megkerülve ezzel a végpontvédelmi észlelési és válaszadási (EDR) eszközöket.
A támadók egy külsőleg elérhető távoli hozzáférési megoldáson keresztül jutottak be a célhálózatba. Az AnyDesk nevű távoli felügyeleti eszközt telepítették a hálózaton való állandó jelenlét biztosítása érdekében. A behatolást követően adatokat szivárogtattak ki a hálózatról. A támadók a Remote Desktop Protocol (RDP) segítségével mozogtak a hálózaton belül, hogy rendszergazdai tevékenységnek álcázzák magukat. Először egy jelszóval védett zip fájlt (‘win.zip’) próbáltak meg telepíteni, amely tartalmazta a zsarolóvírus binárist (‘win.exe’). Azonban az EDR eszköz észlelte és karanténba helyezte a fájlt, megakadályozva a telepítést. A sikertelen telepítési kísérlet után a támadók hálózati szkennelést végeztek, és felfedeztek egy nem védett webkamerát. Ezt kihasználva telepítették a zsarolóvírust a hálózatra, megkerülve az EDR eszközt.
Fontos, hogy minden hálózatra csatlakoztatott eszköz, beleértve az IoT eszközöket is, megfelelően legyen konfigurálva és védve a jogosulatlan hozzáférés ellen. A hálózat szegmentálása segíthet megakadályozni, hogy egy kompromittált eszközön keresztül a támadók hozzáférjenek más kritikus rendszerekhez.
