10/03/25
Этот способ позволил киберпреступникам обойти систему Endpoint Detection and Response (EDR), блокировавшую запуск шифровальщика на Windows.
Как выяснили специалисты компании S-RM, злоумышленники проникли в корпоративную сеть через уязвимость в удалённом доступе. Для взлома пароля они, вероятно, использовали украденные учётные данные или метод перебора. Получив доступ, хакеры установили легитимную программу AnyDesk и начали перемещаться по сети, распространяя своё присутствие, пишет Securitylab.
Затем киберпреступники попытались запустить вредоносный файл с шифровальщиком, спрятанный в архиве, но защитная система жертвы успешно обнаружила и заблокировала его. Однако вместо отказа от атаки злоумышленники перешли к альтернативным методам компрометации. Они просканировали сеть в поисках устройств, которые можно было бы использовать для обхода защиты, и нашли веб-камеру, работавшую на Linux.
Это устройство оказалось уязвимым для удалённого доступа и не имело установленного EDR-агента. Кроме того, его операционная система поддерживала Linux-версию шифровальщика Akira. Поэтому злоумышленники подключились к веб-камере, использовали её для монтирования SMB-ресурсов Windows и запустили шифрование данных на сетевых дисках. В результате атакующие смогли обойти систему безопасности и зашифровать файлы на серверах жертвы.
Эксперты S-RM подчеркнули, что веб-камера имела доступные обновления прошивки, устраняющие брешь, но они не были установлены, что и сделало эту атаку возможной. Данный случай показывает, что EDR-защита не может гарантировать полную безопасность, если в сети остаются уязвимые IoT-устройства. Чтобы предотвратить подобные атаки, важно своевременно обновлять прошивку всех устройств, а IoT-оборудование изолировать от критически важных сегментов сети.
