Đăng nhập với Zalo
Đăng nhập với Google
Tội phạm mạng lợi dụng các webcam không an toàn để thực hiện các cuộc tấn công
Nhóm triển khai mã độc tống tiền (ransomware) Akira đã bị phát hiện sử dụng webcam không an toàn để khởi chạy các cuộc tấn công mã hóa trên mạng của nạn nhân, qua đó vô hiệu hóa hệ thống phát hiện và phản hồi các mối nguy hại tại điểm cuối (Endpoint Detection and Response (EDR) vốn đang chặn bộ mã hóa trong Windows.
Một công ty an ninh mạng đã phát hiện ra phương pháp tấn công bất thường này trong quá trình phản hồi sự cố gần đây của một trong những khách hàng của họ.
Đáng chú ý là Akira chỉ chuyển sang thiết bị webcam sau khi cố gắng triển khai bộ mã hóa trên Windows, vốn đã bị giải pháp EDR của nạn nhân chặn.
Những kẻ tấn công ban đầu đã truy cập được vào mạng công ty mục tiêu thông qua giải pháp truy cập từ xa và đăng nhập bằng mật khẩu đánh cắp được.
Sau khi truy cập được, chúng đã triển khai một công cụ truy cập từ xa hợp pháp AnyDesk và đánh cắp dữ liệu của công ty, sau đó sử dụng những dữ liệu có được để triển khai các cuộc tấn công tống tiền kép.
Tiếp theo, Akira sử dụng Giao thức máy tính từ xa (RDP) để di chuyển theo chiều ngang và mở rộng sự hiện diện của chúng tới nhiều hệ thống nhất có thể trước khi triển khai mã độc ransomware.
Cuối cùng, các tác nhân đe dọa đã thả một tệp ZIP được bảo vệ bằng mật khẩu (win.zip) chứa tải trọng ransomware (win.exe), nhưng công cụ EDR của nạn nhân đã phát hiện và cách ly tệp này, về cơ bản là chặn cuộc tấn công.
Sau thất bại này, Akira đã khám phá các con đường tấn công thay thế, quét mạng để tìm các thiết bị khác có thể được sử dụng để mã hóa các tệp và tìm thấy webcam hoặc máy quét dấu vân tay.
Theo các chuyên gia an ninh mạng, những kẻ tấn công đã chọn webcam vì nó dễ bị truy cập từ xa. Hơn nữa, webcam thường chạy trên hệ điều hành dựa trên Linux tương thích với trình mã hóa Linux của Akira. Nó cũng không có EDR, nên dễ trở thành thiết bị tối ưu để mã hóa từ xa các tệp trên các chia sẻ mạng.
Trường hợp này cho thấy, bảo vệ EDR không phải là giải pháp bảo mật toàn diện và các tổ chức không nên chỉ dựa vào nó để bảo vệ chống lại các cuộc tấn công.
Hơn nữa, các thiết bị IoT không được giám sát và bảo trì chặt chẽ như máy tính nhưng vẫn gây ra rủi ro đáng kể.
Do đó, các loại thiết bị IoT nên được cách ly khỏi các mạng nhạy cảm hơn, như máy chủ sản xuất và máy trạm.
Tất cả các thiết bị, kể cả thiết bị IoT, đều phải cập nhật chương trình cơ sở thường xuyên để vá các lỗ hổng đã biết có thể bị khai thác trong các cuộc tấn công.
