【安全资讯】勒索软件团伙利用摄像头加密网络以绕过EDR

概要：

近期，Akira勒索软件团伙被发现利用未加固的摄像头对受害者网络进行加密攻击，成功绕过了终端检测与响应（EDR）系统。这一事件突显了网络安全防护中的新威胁，尤其是在物联网设备的安全性方面。

主要内容：

Akira团伙最初通过暴露的远程访问解决方案进入目标公司的网络，可能是利用被盗凭证或暴力破解密码。进入后，他们部署了合法的远程访问工具AnyDesk，并窃取了公司的数据，作为双重勒索攻击的一部分。随后，Akira利用远程桌面协议（RDP）横向移动，尽可能扩展其在多个系统中的存在。

在尝试部署勒索软件有效载荷时，受害者的EDR工具检测并隔离了包含勒索软件的密码保护ZIP文件（win.zip），阻止了攻击的成功。面对这一失败，Akira转向其他攻击路径，扫描网络寻找可用于加密文件的设备，最终发现了一台摄像头和指纹扫描仪。由于摄像头存在远程shell访问和未授权视频流查看的漏洞，且运行Linux操作系统，Akira得以利用其进行加密。

S-RM公司确认，攻击者利用摄像头的Linux操作系统挂载了公司其他设备的Windows SMB网络共享，并在摄像头上启动了Linux加密程序，成功绕过了网络上的EDR软件。由于该设备未被监控，受害组织的安全团队未能察觉到来自摄像头的恶意SMB流量增加，从而未能及时响应。此事件表明，EDR保护并非万无一失，组织应避免单靠其防护，尤其是物联网设备的安全性亟需加强。