吳明宜資安廠商S-RM發現Akira勒索軟體利用易受攻擊的網路攝影機發動加密攻擊,繞過EDR防護。攻擊者透過外洩憑證或暴力破解存取伺服器,部署AnyDesk竊取資料,再利用攝影機的SMB流量加密網路。修補程式雖可防堵,但EDR非萬能。
安全廠商發現 Akira 勒索軟體利用有漏洞的 Webcam 對受害者網路發動加密攻擊,且基本上受害者網路的端點偵測與回應 (Endpoint Detection and Response, EDR) 防護也擋不住。
資安廠商 S-RM 首先在其客戶系統發現這樁罕見攻擊。
攻擊者一開始可能是利用外洩的憑證或暴力破解方式遠端存取受害者公司網路的伺服器。之後,攻擊者在伺服器上部署合法的遠端存取工具 AnyDesk,然後竊取公司資料進行雙重勒索攻擊。接著,攻擊者運用 RDP 連線在受害者網路橫向移動,儘可能感染受害者系統。最後,攻擊者在受害系統內植入內含 Akira 勒索軟體密碼保護的 ZIP 檔。但是受害者伺服器的 EDR 偵測工具會偵測並隔離,有效封鎖該攻擊。
此路不通後,Akira 改掃瞄網路中有可乘之機的裝置,最後找到網路攝影機及指紋掃描裝置。 S-RM 專家解釋,攻擊者最後選定網路攝影機是因為比較容易遭遠端連線及非授權存取,而且這些裝置是跑 Linux 作業系統,且沒有 EDR 代理程式,很適合感染 Akira 加密器。
最後,攻擊者利用這些網路設影機透過 SMB 來加密網路芳鄰。研究人員表示.是因為一般公司管理員不會注意到網路攝影機的 SMB (server Message Block, SMB) 流量異常增加,致使攻擊得逞。
不過 S-RM 指出,該款網路攝影機已經有修補程式,因此如果廠商及時修補,可避免 Akia 的攻擊。但是業者也指出,這顯示 EDR 並非萬無一失的解決方案,企業不應只仰賴它來確保網路安全。