Akira勒索软件团伙利用安全漏洞，成功绕过端点检测与响应（EDR）系统
近期，S-RM团队的研究人员发现了一种由Akira勒索软件团伙使用的新型攻击技术。该团伙利用一个未受保护的网络摄像头绕过EDR，成功在目标网络内发起加密攻击。
攻击过程分析
研究人员观察到，攻击者最初通过远程访问工具进入目标网络，并使用AnyDesk维持持久访问并进行数据窃取。随后，攻击者通过RDP（远程桌面协议）移动到一台服务器，并尝试以受密码保护的ZIP文件形式部署勒索软件。然而，受害者的EDR工具成功识别并隔离了勒索软件二进制文件，阻止了其在网络中的进一步扩散。
意识到EDR系统处于激活状态后，攻击者转而扫描网络以寻找易受攻击的设备。他们发现了一些未受保护物联网（IoT）设备，包括网络摄像头和指纹扫描仪，并利用这些设备绕过了安全防御，成功部署了勒索软件。
利用网络摄像头发起攻击
攻击者利用了一个存在严重漏洞的网络摄像头，包括远程Shell访问和缺乏EDR保护。该IoT设备运行的是轻量级Linux操作系统，这恰好成为Akira勒索软件Linux变种的理想目标。由于缺乏监控，攻击者成功部署了勒索软件，而受害者的安全团队未能检测到来自网络摄像头的可疑SMB（服务器消息块）流量。最终，Akira成功加密了整个网络中的文件。
“在确定网络摄像头为合适目标后，攻击者迅速部署了基于Linux的勒索软件。由于该设备未被监控，受害组织的安全团队未能察觉到网络摄像头与受影响服务器之间增加的恶意SMB流量，这本来可能引起他们的警觉[1]。最终，Akira成功加密了受害者网络中的文件。” S-RM团队发布的报告中提到。

攻击启示与防护建议
Akira勒索软件攻击揭示了被忽视的IoT设备的潜在风险、不断演变的网络威胁以及EDR系统的局限性。未打补丁的IoT设备等薄弱环节可能成为攻击者的突破口，正如Akira从Rust转向C++以扩大攻击范围所展现的那样。尽管EDR系统至关重要，但其覆盖范围的不足或配置错误可能使攻击者有机可乘，这凸显了全面安全策略的必要性。
“预防和应对此类新型攻击可能具有挑战性。至少，组织应监控其IoT设备的网络流量并检测异常。” 报告总结道，“此外，还应考虑采用以下安全实践：
关闭设备： 当IoT设备不使用时，保持其关闭状态。
网络限制或分段： 将IoT设备放置在一个无法从服务器或用户工作站访问的分段网络中，或者限制设备与特定端口和IP地址的通信。
内部网络审计： 定期审计连接到内部网络的设备，这有助于识别安全弱点或攻击者植入的恶意设备。
补丁和设备管理： 定期为设备（包括IoT设备）打补丁，确保其使用最新的更新。同时，确保将IoT设备的默认密码更改为唯一且复杂的密码。”_
Akira勒索软件的背景与影响
Akira勒索软件自2023年3月起开始活跃，其背后的攻击者声称已成功入侵了多个行业的组织，包括教育、金融和房地产领域。与其他勒索软件团伙类似，该组织还开发了针对VMware ESXi服务器的Linux加密器，进一步扩大了其攻击范围。