Criminelen hebben een organisatie met de Akira-ransomware weten te infecteren via een onbeveiligde webcam, nadat hun eerdere poging was geblokkeerd door een Endpoint Detection and Response (EDR) tool. Dit meldt securitybedrijf S-RM. Volgens hun onderzoek verkregen de aanvallers eerst toegang tot een server van de organisatie via het remote desktop protocol (RDP).
In eerste instantie probeerden de aanvallers ransomware te installeren op een Windows-server van de organisatie. Ze gebruikten hiervoor een met wachtwoord beveiligd zip-bestand dat de ransomware bevatte. De EDR-tool detecteerde dit bestand en blokkeerde het voordat de ransomware kon worden uitgepakt en uitgevoerd. De aanvallers hadden echter eerder al een netwerkscan uitgevoerd waarbij ze een onbeveiligde webcam hadden ontdekt.
Deze webcam bleek meerdere kritieke beveiligingslekken te bevatten volgens S-RM. Na het compromitteren van de webcam gebruikten de aanvallers dit apparaat als uitgangspunt om de EDR-beveiliging te omzeilen en vervolgens systemen in het netwerk te infecteren met ransomware. In de blogpost van S-RM wordt niet vermeld om welk type webcam het gaat of welke specifieke kwetsbaarheden zijn uitgebuit.
Lees meer via https://www.s-rminform.com/latest-thinking/camera-off-akira-deploys-ransomware-via-webcam
