Перейти к содержимому

Akira ransomware: Атака на Windows Server через RDP и обход EDR с помощью IoT-устройств

В 2024 году около 15% инцидентов в области кибербезопасности были связаны с деятельностью сложной группировки программ-вымогателей под названием Akira. Они разработали новые методы обхода защитных механизмов, в частности, используя незащищённые веб-камеры для уклонения от систем Endpoint Detection and Response (EDR) и распространения вредоносного ПО в корпоративных сетях.

Этот метод атаки демонстрирует, как киберпреступники постоянно ищут новые способы обхода мер безопасности. Ниже рассмотрены подробности сложной атаки, проведённой группировкой Akira.

По данным специалистов по кибербезопасности из S-RM, группа Akira действовала по следующему сценарию:

1️⃣ Удалённый доступ через внешнюю сеть – злоумышленники проникли в систему через сервисы удалённого доступа.
2️⃣ Установка постоянного доступа – установив AnyDesk.exe, они обеспечили себе постоянный доступ к сети и украли конфиденциальные данные.
3️⃣ Боковое перемещение через RDP – использовали протокол удалённого рабочего стола (RDP) для перемещения внутри сети, что позволило им маскировать свои действия под активность системных администраторов, усложняя обнаружение.
4️⃣ Размещение вредоносного ПО – злоумышленники попытались загрузить на сервер Windows вредоносный исполняемый файл «win.exe», запакованный в защищённый паролем архив «win.zip».
5️⃣ Обнаружение и блокировка EDR – система EDR компании выявила угрозу и автоматически изолировала файл, предотвратив его выполнение.
6️⃣ Использование IoT-устройств – после неудачной попытки загрузки вредоносного ПО злоумышленники использовали результаты внутреннего сканирования сети и обнаружили в ней IoT-устройства, включая веб-камеру и сканер отпечатков пальцев.

Одним из самых неожиданных решений атакующих стало использование веб-камеры для доставки вредоносного кода. Почему именно веб-камера?

📌 Основные уязвимости устройства:
✅ Возможность удалённого управления через оболочку (remote shell).
✅ Работа на лёгкой версии Linux, поддерживающей стандартные команды Linux.
✅ Отсутствие защиты EDR или антивируса (из-за ограниченного объёма памяти).

Злоумышленники использовали веб-камеру для генерации вредоносного трафика по протоколу Server Message Block (SMB) и направили его на сервер Windows. Безопасные системы компании не смогли обнаружить эту атаку, что позволило злоумышленникам продолжить свои действия.

Этот случай показывает, что IoT-устройства часто остаются без надлежащей защиты, создавая уязвимые точки для атак.

Хеши (SHA-1) использованных вредоносных файлов:

🔹 Linux-версия: ac9952bcfcecab
🔹 Windows-версия: 3920f3c6368651

Рекомендации специалистов по безопасности

🔹 Сегментация сети IoT – IoT-устройства должны быть отделены от основной инфраструктуры сети.
🔹 Аудит внутренней сети – необходимо регулярно проверять безопасность IoT и других сетевых устройств.
🔹 Установка обновлений – своевременное обновление прошивки и программного обеспечения IoT-устройств.
🔹 Смена паролей – обязательная замена стандартных паролей на веб-камерах и других устройствах.
🔹 Отключение неиспользуемых IoT-устройств – если устройство не используется, его следует отключить.

Группа Akira разрабатывает новые способы обхода защитных систем, используя уязвимости IoT-устройств. Их атаки могут приводить к шифрованию данных и значительным убыткам.

Компании должны уделять больше внимания безопасности IoT, внедрять сегментацию сети и усиливать меры защиты. В противном случае атаки программ-вымогателей будут наносить всё больший ущерб.