Skip to content

Akira ransomware: RDP orqali Windows serverga hujum va IoT qurilmalar yordamida EDR’dan yashirinib o’tish

2024-yilda kiberxavfsizlik hodisalarining qariyb 15% Akira nomli murakkab ransomware (tovlamachi dasturiy ta’minot) guruhi tomonidan sodir etilgan. Ular himoya tizimlarini chetlab o‘tish uchun yangi texnikalarni ishlab chiqishgan. Ayniqsa, himoyalanmagan veb-kameralar orqali Endpoint Detection and Response (EDR) vositalaridan yashirinib, korporativ tarmoqlarga zararli dasturiy ta’minotni joylashtirish usuli e’tiborga loyiq.

Bu hujum usuli kiberjinoyatchilarning doimiy ravishda yangi yo‘llarni izlab, xavfsizlik choralarini buzishga intilayotganini ko‘rsatadi. Quyida Akira ransomware guruhi tomonidan amalga oshirilgan murakkab hujumning tafsilotlarini ko‘rib chiqamiz.

Akira ransomware guruhi S-RM kiberxavfsizlik mutaxassislari tomonidan aniqlangan so‘nggi hujumda an’anaviy ssenariy bo‘yicha harakat qilishdi:

1️⃣ Tashqi tarmoq orqali hujum qilish – Jabrlangan tizimga masofaviy ulanish xizmatlari orqali kirishgan.

2️⃣ Persistent (doimiy) kirish o‘rnatishAnyDesk.exe ilovasini o‘rnatib, tarmoqqa barqaror kirish imkoniyatini yaratishgan va maxfiy ma’lumotlarni o‘g‘irlashgan.

3️⃣ RDP orqali lateral harakatlanish – Tarmoq bo‘ylab harakatlanish uchun Remote Desktop Protocol (RDP) dan foydalanishgan. Bu esa ularga tizim administratorlari harakatlariga o‘xshab ko‘rinish imkonini bergan va kiberxavfsizlik jamoasi tomonidan aniqlanishni qiyinlashtirgan.

4️⃣ Shifrlash yuklamasini joylashtirish – Ular «win.zip» nomli parol bilan himoyalangan ZIP-fayl ichida joylashgan zararli «win.exe» dasturini Windows serveriga yuklashga urinishgan.

5️⃣ EDR tomonidan bloklanish – Korxona tomonidan ishlatilayotgan EDR tizimi faylni shubhali deb topib, avtomatik tarzda karantinga olgan va uni ishga tushirishning oldini olgan.

6️⃣ Yangi usul – IoT qurilmalaridan foydalanish – Hujumchilar ichki tarmoq skaneri natijalari asosida korxona tarmog‘idagi IoT qurilmalarini aniqlashgan, jumladan, veb-kamera va barmoq izi skaneri.

Hujumchilarning eng kutilmagan usuli veb-kamera orqali tizimga zararli kod joylashtirish bo‘ldi. Nima uchun aynan veb-kamera tanlangan?

📌 Himoyasizligining sabablar:
Masofaviy shell (remote shell) imkoniyati mavjud bo‘lgan.
Linux asosida ishlaydigan yengil OS (standart Linux buyruqlarini bajara oladi).
EDR yoki antivirusdan himoyalanmagan (saqlash xotirasi juda kichik bo‘lgan).

Hujumchilar ushbu qurilmadan Server Message Block (SMB) protokoli orqali zararli trafik yaratish uchun foydalangan. Natijada, korxona xavfsizlik tizimlari hujumni aniqlay olmadi va tarmoq bo‘ylab hujum davom ettirildi.

Bu hujum shuni ko‘rsatadiki, IoT qurilmalar odatda xavfsizlik choralaridan chetda qoladi, lekin hujumchilarga yangi imkoniyatlar yaratib beradi.

Hujumda ishlatilgan ransomware dasturlarining SHA-1 xesh identifikatorlari:

🔹 Linux versiyasi: ac9952bcfcecab
🔹 Windows versiyasi: 3920f3c6368651

Bu esa ularga zararli kodni Windows serverida yashirincha ishga tushirish imkonini bergan.

Mutaxassislarning Tavsiyalari

🔹 IoT qurilmalarini segmentatsiya qilish – Tarmoqni maxsus zonalarga ajratish va IoT qurilmalarni asosiy tizimlardan ajratish kerak.

🔹 Ichki tarmoq auditi – IoT va boshqa tarmoq qurilmalarining xavfsizlik holatini muntazam tekshirish shart.

🔹 Yamoqlarni (patches) yangilash – Barcha IoT qurilmalar uchun dasturiy ta’minot yangilanishlarini o‘z vaqtida o‘rnatish zarur.

🔹 Standart parollarni o‘zgartirish – Veb-kameralar va boshqa IoT qurilmalaridagi standart parollarni albatta yangilash kerak.

🔹 IoT qurilmalarni o‘chirish – Ishlatilmayotgan qurilmalarni butunlay o‘chirib qo‘yish tavsiya etiladi.

Akira ransomware guruhi yangicha usullar orqali EDR va xavfsizlik tizimlaridan yashirinish yo‘llarini ishlab chiqmoqda. Ayniqsa, IoT qurilmalarining himoyasizligidan foydalanish hujumchilarga tizimlarni shifrlash va ma’lumotlarni yo‘q qilish imkonini beradi.

Korxonalar IoT qurilmalariga alohida e’tibor qaratishi, tarmoq segmentatsiyasini amalga oshirishi va xavfsizlik choralarini kuchaytirishi shart. Aks holda, shantajchi dasturlar tobora ko‘proq zarar yetkazishi mumkin.