Yakın tarihli bir siber güvenlik olayında, Akira Ransomware grubu, boş bir web kamerasını uç nokta algılama ve yanıt (EDR) araçlarını atlamak için teminatsız bir web kamerasını kullanarak gelişen taktiklerini gösterdi.
Bu yeni yaklaşım, grubun geleneksel güvenlik önlemlerini uyarlama ve kaçma yeteneğini vurgular ve bu da onu siber güvenlik manzarasında zorlu bir tehdit haline getirir.
Arka plan ve modus operandi
İyi kurulmuş bir fidye yazılımı grubu olan Akira, 2024’te S-RM ekibi tarafından yanıtlanan olayların% 15’inden sorumluydu.
Tipik olarak, Akira’nın saldırıları, dışa bakan uzaktan erişim çözümleri aracılığıyla bir ağdan ödün vermeyi ve erişimi korumak için anydesk.exe gibi araçları dağıtmayı içerir.
Grup genellikle ağ içinde yanal olarak hareket etmek için uzak masaüstü protokolünü (RDP) kullanır ve meşru sistem yöneticisi faaliyetleriyle harmanlanır.
Yakın zamanda yapılan bir olayda Akira, parola korumalı bir zip dosyası aracılığıyla bir Windows sunucusuna fidye yazılımlarını dağıtmaya çalıştı, ancak EDR aracı ilk denemeyi engelleyerek dosyayı algıladı ve karantinaya aldı.
IoT cihazlarıyla kaçan EDR
EDR’nin savunmasıyla karşı karşıya kalan Akira, savunmasız cihazları tanımlamak için dahili bir ağ taraması yaparak stratejisini döndürdü.
Tarama, web kameraları ve parmak izi tarayıcısı dahil olmak üzere çeşitli Nesnelerin İnterneti (IoT) cihazlarını ortaya çıkardı.
Akira, kritik güvenlik açıkları, hafif Linux işletim sistemi ve EDR koruması eksikliği nedeniyle bir web kamerası hedefledi.
Web kamerasının sınırlı depolama kapasitesi, EDR araçlarını desteklemeyi olası hale getirerek açığa çıkardı.
Web kamerasından ödün vererek Akira, Linux tabanlı fidye yazılımlarını başarıyla dağıttı, cihazın uzak kabuk özelliklerini ve kurbanın ağı üzerindeki dosyaları şifrelemek için işlenmemiş durumdan yararlandı.
Araştırmacılara göre, bu olay kapsamlı güvenlik uygulamalarının öneminin altını çiziyor.
Kuruluşlar, IoT cihazlarının yama ve yönetilmesine öncelik vermeli, güvenlik açıkları için dahili ağları düzenli olarak denetlemeli ve IoT cihazlarını kritik sistemlerden izole etmek için ağ segmentasyonunu uygulamalıdır.
Anormallikler için IoT cihazlarından ağ trafiğinin izlenmesi de çok önemlidir.
Akira saldırısı, görünüşte önemsiz cihazların bile tehdit aktörleri için kritik giriş noktaları haline gelebileceğini ve tüm ağ bağlantılı cihazları içeren bütünsel bir güvenlik yaklaşımına duyulan ihtiyacı vurguladığını vurgulamaktadır.
Bu önlemleri benimseyerek, kuruluşlar Akira gibi gelişen fidye yazılımı tehditlerine karşı kendilerini daha iyi koruyabilirler.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free