Akira 勒索軟件團伙被發現利用不安全的網絡攝像頭，對受害者網絡發起加密攻擊，且成功繞過了用于阻止 Windows 中加密器的端點檢測和響應（EDR）系統。這一不尋常的攻擊方式，是網絡安全公司 S-RM 團隊在近期對一位客戶的事件響應過程中發現的。

值得關注的是，Akira 勒索軟件團伙最初嘗試在 Windows 系統上部署加密器，不過被受害者的 EDR 解決方案阻止。在此之后，他們才轉而利用網絡攝像頭實施攻擊。

Akira 的非常規攻擊鏈

Akira 的攻擊鏈條十分復雜。威脅行為者起初通過目標公司暴露的遠程訪問解決方案，可能是利用被盜憑證或者暴力破解密碼，得以訪問公司網絡。獲取訪問權限后，他們部署了合法的遠程訪問工具 AnyDesk，并竊取公司數據，為后續的雙重勒索攻擊做準備。接著，Akira 利用遠程桌面協議（RDP）進行橫向移動，將自身影響范圍擴展到盡可能多的系統，隨后嘗試部署勒索軟件負載。最終，威脅行為者投放了一個受密碼保護的 ZIP 文件（win.zip），里面包含勒索軟件負載（win.exe），但受害者的 EDR 工具檢測到并隔離了該文件，使得這次攻擊暫時受阻。

在這次失敗后，Akira 開始探索其他攻擊途徑。他們掃描網絡，尋找可用于加密文件的其他設備，發現了網絡攝像頭和指紋掃描儀。S-RM 解釋稱，攻擊者選擇網絡攝像頭，是因為其容易受到遠程 shell 訪問，且可被未經授權地觀看視頻。此外，網絡攝像頭運行的是與 Akira 的 Linux 加密器兼容的 Linux 操作系統，并且沒有安裝 EDR 代理，因此成為遠程加密網絡共享文件的理想設備。

Akira 攻擊步驟概覽（來源：S-RM）

S-RM 向 BleepingComputer 證實，威脅者利用網絡攝像頭的 Linux 操作系統，掛載了公司其他設備的 Windows SMB 網絡共享。隨后，他們在網絡攝像頭上啟動 Linux 加密器，以此加密 SMB 上的網絡共享，成功繞過了網絡上的 EDR 軟件。S-RM 指出：“由于該設備未被監控，受害組織的安全團隊并未察覺到從網絡攝像頭到受影響服務器的惡意服務器消息塊（SMB）流量增加，否則他們可能會收到警報?！?就這樣，Akira 得以成功加密受害者網絡上的文件。

S-RM 告知 BleepingComputer，針對網絡攝像頭漏洞已有相應補丁，這意味著此次攻擊，至少是這種攻擊方式，本可以避免。這一案例表明，EDR 保護并非全面的安全解決方案，組織不能僅依賴它來防御攻擊。此外，物聯網設備不像計算機那樣受到密切監控和維護，卻存在重大風險。所以，這類設備應與生產服務器和工作站等更敏感的網絡隔離。同樣重要的是，所有設備，包括物聯網設備，都應定期更新固件，修補可能被攻擊的已知漏洞。

此外，物聯網設備不像計算機那樣受到密切的監控和維護，但仍然存在重大風險。

因此，這些類型的設備應該與更敏感的網絡（如生產服務器和工作站）隔離。

同樣重要的是，所有設備，甚至是物聯網設備，都應該定期更新其固件，以修補可能被攻擊的已知漏洞。

參考及來源：https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr/