Akira 勒索软件团伙被发现利用不安全的网络摄像头，对受害者网络发起加密攻击，且成功绕过了用于阻止 Windows 中加密器的端点检测和响应（EDR）系统。这一不寻常的攻击方式，是网络安全公司 S-RM 团队在近期对一位客户的事件响应过程中发现的。

值得关注的是，Akira 勒索软件团伙最初尝试在 Windows 系统上部署加密器，不过被受害者的 EDR 解决方案阻止。在此之后，他们才转而利用网络摄像头实施攻击。

Akira 的非常规攻击链

Akira 的攻击链条十分复杂。威胁行为者起初通过目标公司暴露的远程访问解决方案，可能是利用被盗凭证或者暴力破解密码，得以访问公司网络。获取访问权限后，他们部署了合法的远程访问工具 AnyDesk，并窃取公司数据，为后续的双重勒索攻击做准备。接着，Akira 利用远程桌面协议（RDP）进行横向移动，将自身影响范围扩展到尽可能多的系统，随后尝试部署勒索软件负载。最终，威胁行为者投放了一个受密码保护的 ZIP 文件（win.zip），里面包含勒索软件负载（win.exe），但受害者的 EDR 工具检测到并隔离了该文件，使得这次攻击暂时受阻。

在这次失败后，Akira 开始探索其他攻击途径。他们扫描网络，寻找可用于加密文件的其他设备，发现了网络摄像头和指纹扫描仪。S-RM 解释称，攻击者选择网络摄像头，是因为其容易受到远程 shell 访问，且可被未经授权地观看视频。此外，网络摄像头运行的是与 Akira 的 Linux 加密器兼容的 Linux 操作系统，并且没有安装 EDR 代理，因此成为远程加密网络共享文件的理想设备。

Akira 攻击步骤概览（来源：S-RM）

S-RM 向 BleepingComputer 证实，威胁者利用网络摄像头的 Linux 操作系统，挂载了公司其他设备的 Windows SMB 网络共享。随后，他们在网络摄像头上启动 Linux 加密器，以此加密 SMB 上的网络共享，成功绕过了网络上的 EDR 软件。S-RM 指出：“由于该设备未被监控，受害组织的安全团队并未察觉到从网络摄像头到受影响服务器的恶意服务器消息块（SMB）流量增加，否则他们可能会收到警报。” 就这样，Akira 得以成功加密受害者网络上的文件。

S-RM 告知 BleepingComputer，针对网络摄像头漏洞已有相应补丁，这意味着此次攻击，至少是这种攻击方式，本可以避免。这一案例表明，EDR 保护并非全面的安全解决方案，组织不能仅依赖它来防御攻击。此外，物联网设备不像计算机那样受到密切监控和维护，却存在重大风险。所以，这类设备应与生产服务器和工作站等更敏感的网络隔离。同样重要的是，所有设备，包括物联网设备，都应定期更新固件，修补可能被攻击的已知漏洞。

此外，物联网设备不像计算机那样受到密切的监控和维护，但仍然存在重大风险。

因此，这些类型的设备应该与更敏感的网络（如生产服务器和工作站）隔离。 

同样重要的是，所有设备，甚至是物联网设备，都应该定期更新其固件，以修补可能被攻击的已知漏洞。

参考及来源：https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr/