摘要：S-RM 团队安全研究人员发现 Akira 勒索软件团伙使用的一种新型攻击技术。该勒索软件团伙利用不安全的网络摄像头绕过端点检测和响应 (EDR)，最终加密目标网络内的系统。

S-RM 团队安全研究人员发现 Akira 勒索软件团伙使用的一种新型攻击技术。该勒索软件团伙利用不安全的网络摄像头绕过端点检测和响应 (EDR)，最终加密目标网络内的系统。

研究人员观察到，Akira 勒索软件最初被安装在受害者系统上的 EDR 阻止，EDR 识别并隔离勒索软件二进制文件，阻止其在受害者的网络中部署。

Akira 勒索软件组织通过远程访问工具访问网络，使用 AnyDesk 进行持久化并窃取数据。然后，攻击者通过 RDP 移动到服务器并尝试将勒索软件部署为受密码保护的 zip 文件，但受害者的 EDR 工具阻止了它。

意识到 EDR 已启动后，他们转而扫描网络以查找易受攻击的设备。他们发现了不安全的物联网设备，包括网络摄像头和指纹扫描仪，并利用它们绕过安全防御并成功部署勒索软件。

攻击者利用了受严重漏洞影响的网络摄像头，包括远程 shell 访问和无 EDR 保护。物联网设备运行的是轻量级 Linux 操作系统，这是 Akira Linux 勒索软件变种的完美目标。

由于缺乏监控，攻击者得以部署勒索软件，而受害者的安全团队却没有注意到，他们未能检测到可疑的 SMB 流量。Akira 成功加密了整个网络的文件。

在将网络摄像头确定为合适目标后，攻击者部署基于 Linux 的勒索软件。由于设备不受监控，受害组织的安全团队没有意识到从网络摄像头到受影响服务器的恶意SMB流量增加，否则他们可能会收到警报。

Akira 随后能够加密受害者网络上的文件。

Akira 勒索软件攻击揭示了被忽视的物联网设备、不断演变的网络威胁和 EDR 限制的风险。

未打补丁的物联网设备等薄弱环节可能会被利用，正如 Akira 从 Rust 转向 C++ 进行更广泛的攻击一样。尽管 EDR 很重要，但覆盖范围的差距或配置错误使攻击者能够绕过防御，这凸显了制定全面安全策略的必要性。

预防和补救此类新型攻击可能具有挑战性,组织应该监控其 IoT 设备的网络流量并检测异常情况。

Akira 勒索软件自 2023 年 3 月以来一直活跃，该勒索软件团伙声称攻击了多个行业的多个组织，包括教育、金融和房地产。与其他勒索软件团伙一样，该组织开发了一个 Linux 加密器来针对 VMware ESXi 服务器。

新闻链接：

来源：会杀毒的单反狗