Как защититься от атак ransomware через умные устройства в сети компании.
Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
Камера стала прекрасной мишенью для атакующих по нескольким причинам:
Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
Анатомия атаки
Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации.На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
Камера стала прекрасной мишенью для атакующих по нескольким причинам:
- устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell);
- камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira;
- это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность.
Как не стать следующей жертвой
Инцидент с IP-камерой наглядно демонстрирует некоторые принципы целевых кибератак и подсказывает способы эффективного противодействия. Мы ранжируем их от более простых в исполнении к более сложным:- ограничивайте привилегии специализированных сетевых устройств и доступ к ним. Ключевой проблемой в описанной атаке стало то, что IP-камера имела широкие права доступа к файловым серверам. Такие устройства должны находиться в изолированной подсети, а если это почему-то невозможно — иметь минимальные права взаимодействия с другими компьютерами. Например, доступ на запись только в одну папку одного сервера, где хранятся видеозаписи. А доступ к самой камере и этой папке должен быть возможен лишь с компьютеров охраны и других профильных специалистов. Этот совет сложнее реализовать с другими специализированными устройствами, например принтерами, но с камерами это легко осуществимо;
- отключите на умных устройствах ненужные сервисы и стандартные учетные записи, измените стандартные пароли;
- используйте решение EDR на всех серверах, рабочих компьютерах и других совместимых устройствах. Важно, чтобы выбранное решение было способно опознавать аномальную активность на серверах, например попытки дистанционного шифрования через службу SMB;
- включите в программы управления уязвимостями и патчами не только серверное ПО, но и любую умную технику, имеющуюся в инфраструктуре. Для этого нужно первым делом провести подробную инвентаризацию таких устройств;
- по возможности настройте мониторинг, например отправку телеметрии в SIEM-систему, даже на специализированных устройствах, на которых невозможно установить EDR (маршрутизаторы и межсетевые экраны, принтеры, камеры видеонаблюдения и так далее);
- перейдите на решение класса XDR, которое объединяет мониторинг в сети и на хостах с инструментами обнаружения аномалий, ручного и автоматического реагирования.
