Akira勒索软件团伙利用未加密的网络摄像头绕过EDR（终端检测与响应系统）

S-RM团队的网络安全研究人员发现了一种由Akira勒索软件团伙使用的新型攻击技术。该勒索软件团伙利用未加密的网络摄像头加密目标网络内的系统，绕过了终端检测与响应（EDR）系统。

研究人员观察到，Akira勒索软件最初被受害者系统上安装的EDR阻止，EDR识别并隔离了勒索软件二进制文件，防止其在受害者网络中部署。

Akira勒索软件团伙通过远程访问工具进入网络，使用AnyDesk保持持久性并窃取数据。攻击者随后通过RDP移动到服务器，并尝试将勒索软件部署为受密码保护的zip文件，但受害者的EDR工具阻止了该操作。意识到EDR处于活动状态后，他们转而扫描网络以寻找易受攻击的设备。他们发现了未加密的物联网设备，包括网络摄像头和指纹扫描仪，利用这些设备绕过安全防御并成功部署了勒索软件。

攻击者利用了一个受严重漏洞影响的网络摄像头，包括远程shell访问和没有EDR保护。该物联网设备运行轻量级Linux操作系统，是Akira的Linux勒索软件变种的完美目标。由于缺乏监控，攻击者得以部署勒索软件，而受害者的安全团队未能检测到可疑的SMB流量。Akira成功加密了整个网络中的文件。

“在确定网络摄像头为合适目标后，威胁行为者迅速开始部署其基于Linux的勒索软件。由于该设备未被监控，受害组织的安全团队未意识到从网络摄像头到受影响服务器的恶意服务器消息块（SMB）流量的增加，否则可能会引起他们的警觉。[1] Akira随后能够加密受害者网络中的文件。” S-RM团队发布的报告中写道。

akira勒索软件edr绕过

Akira勒索软件攻击揭示了被忽视的物联网设备风险、不断演变的网络威胁以及EDR的局限性。未修补的物联网设备等薄弱环节可能被利用，正如Akira从Rust转向C++以进行更广泛的攻击所显示的那样。尽管EDR很重要，但覆盖范围或配置中的漏洞使攻击者能够绕过防御，强调了全面安全策略的必要性。

“预防和修复此类新型攻击可能具有挑战性。至少，组织应监控其物联网设备的网络流量并检测异常。”报告总结道。“他们还应该考虑采用以下安全实践：

关闭设备：在不使用时保持物联网设备关闭。”

网络限制或分段：将物联网设备放置在无法从服务器或用户工作站访问的分段网络上，或限制设备与特定端口和IP地址的通信。

内部网络审计：定期审计连接到内部网络的设备，这有助于识别安全弱点或威胁行为者实施的恶意设备。

补丁和设备管理：定期为包括物联网设备在内的设备打补丁，确保使用最新更新。确保物联网设备的默认密码更改为唯一且复杂的密码。”

Akira勒索软件自2023年3月以来一直活跃，该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织，包括教育、金融和房地产。与其他勒索软件团伙一样，该组织开发了针对VMware ESXi服务器的Linux加密器。

原文始发于微信公众号（黑猫安全）：Akira勒索软件团伙利用未加密的网络摄像头绕过EDR（终端检测与响应系统）