Le gang de ransomwares Akira a été repéré en utilisant une webcam non sécurisée pour lancer des attaques de chiffrement sur le réseau d’une victime, contournant efficacement la détection et la réponse des points de terminaison (EDR), qui bloquait le chiffreur dans Windows.
L’équipe de la société de cybersécurité S-RM a découvert la méthode d’attaque inhabituelle lors d’une récente réponse à un incident chez l’un de leurs clients.
Notamment, Akira n’a basculé vers la webcam qu’après avoir tenté de déployer des chiffreurs sur Windows, qui ont été bloqués par la solution EDR de la victime.
La chaîne d’attaque peu orthodoxe d’Akira
Les auteurs de la menace ont initialement accédé au réseau de l’entreprise via une solution d’accès à distance exposée dans l’entreprise ciblée, probablement en exploitant des informations d’identification volées ou en forçant brutalement le mot de passe.
Après avoir obtenu l’accès, ils ont déployé AnyDesk, un outil d’accès à distance légitime, et ont volé les données de l’entreprise pour les utiliser dans le cadre de la double attaque d’extorsion.
Ensuite, Akira a utilisé le protocole RDP (Remote Desktop Protocol) pour se déplacer latéralement et étendre sa présence à autant de systèmes que possible avant de déployer la charge utile du ransomware.
Finalement, les auteurs de la menace ont laissé tomber un fichier ZIP protégé par mot de passe (win.zip) contenant la charge utile du ransomware (win.exe), mais l’outil EDR de la victime l’a détecté et mis en quarantaine, bloquant essentiellement l’attaque.
Après cet échec, Akira a exploré d’autres voies d’attaque, analysant le réseau à la recherche d’autres périphériques pouvant être utilisés pour crypter les fichiers et trouvant une webcam et un lecteur d’empreintes digitales.
S-RM explique que les attaquants ont opté pour la webcam car elle était vulnérable à l’accès à distance au shell et à la visualisation non autorisée de flux vidéo.
De plus, il fonctionnait sur un système d’exploitation basé sur Linux compatible avec le chiffreur Linux d’Akira. Il ne disposait pas non plus d’agent EDR, ce qui en faisait un périphérique optimal pour crypter à distance des fichiers sur des partages réseau.
S-RM a confirmé à Breachtrace que les auteurs de la menace utilisaient le système d’exploitation Linux de la webcam pour monter des partages réseau Windows SMB des autres appareils de l’entreprise. Ils ont ensuite lancé le chiffreur Linux sur la webcam et l’ont utilisé pour chiffrer les partages réseau sur SMB, contournant efficacement le logiciel EDR sur le réseau.
« Comme l’appareil n’était pas surveillé, l’équipe de sécurité de l’organisation victime n’était pas au courant de l’augmentation du trafic SMB (Malicious Server Message Block) de la webcam vers le serveur affecté, ce qui aurait autrement pu les alerter », explique S-RM.
« Akira a ensuite pu chiffrer des fichiers sur le réseau de la victime. »
S-RM a déclaré à Breachtrace qu’il y avait des correctifs disponibles pour les failles de la webcam, ce qui signifie que l’attaque, ou du moins ce vecteur, était évitable.
L’affaire montre que la protection EDR n’est pas une solution de sécurité globale et que les organisations ne devraient pas compter uniquement sur elle pour se protéger contre les attaques.
De plus, les appareils IoT ne sont pas aussi étroitement surveillés et entretenus que les ordinateurs, mais présentent toujours un risque important.
Pour cette raison, ces types d’appareils doivent être isolés des réseaux les plus sensibles, tels que les serveurs de production et les postes de travail.
De la même importance, tous les appareils, même les appareils IoT, devraient avoir leur micrologiciel mis à jour régulièrement pour corriger les failles connues qui pourraient être exploitées lors d’attaques.