【文章转载】企业防线被攻破！Akira 勒索团伙用摄像头绕过EDR加密数据

网络安全公司S-RM在为客户提供事件响应（Incident Response）时发现了这起攻击。值得注意的是，攻击者原本计划在Windows 设备上执行勒索加密，但由于受害者部署了 EDR 解决方案，Windows 加密器被成功拦截，迫使攻击者寻找新的攻击路径。

1.初始访问：

攻击者利用暴露的远程访问系统渗透目标公司网络，可能通过窃取凭据或暴力破解获取访问权限。

2.部署远程管理工具：

黑客在受害系统中安装AnyDesk（一款合法的远程访问工具），并窃取企业数据，实施双重勒索（数据泄露+文件加密）。

3.横向移动：

通过远程桌面协议（RDP）在受害企业网络内部扩展控制权，感染尽可能多的设备，以扩大攻击影响范围。

4.勒索软件投递失败：

攻击者投放了一个受密码保护的 ZIP 文件（win.zip），其中包含勒索软件可执行文件（win.exe），但该文件被受害者的 EDR 识别并隔离，导致攻击失败。

5.寻找替代攻击路径：

Akira 团伙扫描受害企业网络，寻找可以执行攻击的其他设备。

发现了一台摄像头和指纹扫描仪。

由于该摄像头存在远程 Shell 访问漏洞，攻击者选择利用它作为攻击工具。

6.利用摄像头执行加密攻击：

该摄像头运行Linux 操作系统，支持 Akira 适用于 Linux 的勒索软件加密程序。

攻击者通过摄像头挂载 Windows SMB 共享，并在摄像头上运行 Linux 加密器，对受害者网络中的共享文件进行加密。

由于摄像头缺乏 EDR 监控，受害企业的安全团队未能察觉到摄像头向服务器发送的大量恶意 SMB 流量，最终导致文件被成功加密。

1.运行 Linux，支持攻击者的勒索软件加密器。

2.未安装 EDR 代理，无法被传统安全防护检测。

3.存在远程访问漏洞，可被攻击者利用。

4.与企业网络共享服务器存在连接，使其能够加密核心业务数据。

Akira 勒索软件攻击流程概览

S-RM 在调查过程中发现，该摄像头的漏洞已有可用补丁，意味着这次攻击完全可以避免。这一案例也凸显了几项重要的网络安全教训:

1.EDR不是万能的

仅依赖 EDR 防护无法完全阻止攻击，尤其是针对非传统 IT 资产（如 IoT 设备）的攻击路径。

2.物联网（IoT）设备的安全风险不容忽视

IoT 设备通常缺乏严格的安全监控，但它们仍可能成为攻击跳板，甚至直接用于执行攻击。

3.网络隔离是关键

IoT 设备应隔离于企业核心网络，避免其被用于攻击生产服务器和工作站。

4.定期更新固件，修补已知漏洞

任何设备（包括摄像头、打印机、指纹识别仪等）都应定期更新固件，以防漏洞被利用。

Akira 勒索软件团伙的这次攻击展示了黑客如何利用非传统 IT 设备来绕过 EDR 防护，成功实施勒索攻击。这也警示企业，在制定安全策略时，必须考虑 IoT 设备的潜在威胁，并采取适当的防护措施，如定期补丁管理、网络分段、加强监控等，以降低攻击风险。

https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr/