Nova Strategija Napada Ransomware Grupe Akira: Uporaba Nezaštićenih Webcamova
U posljednjem izvještaju o kibernetičkoj sigurnosti, istraživači iz S-RM-a otkrili su da su kriminalci iz ransomware grupe Akira iskoristili nezaštićenu web kameru za lansiranje napada koji je rezultirao enkripcijom cijele mreže ciljne organizacije. Ova metoda napada pokazuje potrebu za poboljšanjem sigurnosnih mjera, posebice kada su u pitanju daljinske pristupne točke.
Kako se Napad Dogodio
Istraživanje S-RM-a otkrilo je da su napadači prvo pristupili rješenju za daljinski pristup ciljne organizacije. Ovo su postigli ili pritiskom na korisnička imena i lozinke (brute-forcing), ili kupovinom podataka s crnog tržišta. Nakon što su se ulogirali, instalirali su softver AnyDesk kako bi preusmjerili napad na druge uređaje unutar mreže, stvorili trajnu povezanost i ukrali osjetljive informacije.
Međutim, pokušaj izvođenja enkripcije na Windows platformi bio je spriječen od strane mehanizma za otkrivanje i odgovor na prijetnje (EDR) kompanije. Kada su naišli na ovu prepreku, napadači Akira pretražili su druge uređaje izvan dosega EDR-a. Otkriće aktivne web kamere ranjive na daljinski pristup bili su ključan trenutak.
Iskorištavanje Ranjivosti Web Kamere
Web kamera je radila na drugačijem operativnom sustavu temeljenom na Linuxu, što je omogućilo Akiri da upotrijebi svoj Linux enkriptor. S-RM je izjavio da je Akira iskoristila web kameru kako bi montirala mrežne dijelove Windows Server Message Block (SMB) drugih uređaja kompanije. Zatim su uspješno enkriptirali te mrežne dijelove, premostivši zaštitu koju je pružao EDR.
“Kako uređaj nije bio nadziran, sigurnosni tim žrtvovane organizacije nije bio svjestan povećanja zloćudnog SMB prometa koji je dolazio od web kamere do pogođenog poslužitelja, što bi ih inače moglo upozoriti,” napominje S-RM.
Posljedice i Moguća Rješenja
Nažalost, S-RM je također potvrdio da je unapređenje za web kameru bilo dostupno, što znači da se cijeli napad mogao izbjeći blagovremenim zakrpavanjem ranjivosti. Iako su neki detalji o napadu ostali nepoznati, poput identiteta žrtava ili vrsti datoteka koje su ukradene, jasno je da je stanje ozbiljno. Također, ne zna se je li kompanija isplatila otkupninu ili su ukradene datoteke završile na tamnom vebu.
Akira, koja uz LockBit predstavlja jedan od najvećih ransomware prijetnji, naglašava važnost budnosti među korisnicima.
Zaključak
Ova situacija jasno pokazuje koliko važna zaštita digitalne infrastrukture može biti. U današnjem digitalnom svijetu, gdje su prijetnje sve prisutnije, važno je posvetiti više pažnje sigurnosnim protokolima i redovitim ažuriranjima sustava. Poduzetnici i korisnici trebali bi biti svjesni potencijalnih ranjivosti te poduzeti korake za osiguranje svojih podataka i sustava.
