Ransomware bende gebruikt webcam om systemen te versleutelen

Ransomware bende gebruikt webcam om systemen te versleutelen

Ransomware bende gebruikt webcam om systemen te versleutelen

Een ransomware bende genaamd Akira heeft een vrij ongebruikelijke methode gebruikt om ransomware te verspreiden in een netwerk. Hierbij hebben ze een op het netwerk aangesloten webcam ingezet om de ransomware te verspreiden. Hierdoor hebben ze een EDR-oplossing volledig kunnen omzeilen en vrijwel onzichtbaar ransomware kunnen verspreiden.

Remote access

Uit het onderzoek van S-RM blijkt dat de initiële toegang plaatsvond via een Remote Access-oplossing zoals bijvoorbeeld AnyDesk of RDP.
Nadat ze zich toegang hebben verschaft is er zeer waarschijnlijk data van het getroffen bedrijf gestolen om het slachtoffer mee af te persen.

source: S-RM

EDR

In eerste instantie heeft de bende zich lateraal verspreid op gebruikelijke manieren zoals RDP om hun payload te verspreiden, maar dit is opgemerkt en geblokkeert door de EDR (Ehanced Detection & Response) van de organisatie.

De bende heeft daarna een vrij ongebruikelijke methode ingezet om alsnog de payload te verspreiden.

Webcam

Vanaf het gecompromitteerde systeem hebben ze de ransomware payload verplaatst naar een slecht beveiligde webcam die op het netwerk was aangesloten.
Doordat deze webcam Linux als OS draaide kon deze gebruikt worden als punt voor verdere verspreiding van de malware.

EDR omzeilt door SMB

Door de ransomware payload niet op de endpoints uit te voeren maar op de webcam konden ze volledig buiten het zicht blijven van de EDR-oplossing.
Hierbij maakten ze via SMB verbinding met de endpoints en servers in het netwerk om zo via het netwerk alsnog de data te kunnen versleutelen.

Segmentatie

In deze case wordt het belang onderstreept van het scheiden van devices binnen netwerken. In dit geval is het altijd aan te raden om IoT (Internet of Things) devices zoals webcams, maar ook bijvoorbeeld airco’s af te schermen een apart (virtueel) netwerk zodat ze nergens anders verbinding mee kunnen maken als het Internet, zeker nu dit soort apparaten slimmer worden en vaak een Linux-variant draaien en in feite een kleine computer zijn.

Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.

Meer weten? Neem contact met ons op!

Neem contact met ons op

Meer artikelen

  • Eén op de vier ransomware-slachtoffers krijgt data niet terug na betaling
    Uit een rapport van cybersecuritybedrijf Delinea is gebleken dat één op de vier slachtoffers van ransomware de data niet of niet helemaal terug heeft gekregen na het betalen van het losgeld.
  • Politie haalt veelgebruikte malware-tool offline
    De politie heeft de malware-testdienst AVCheck offline gehaald, waarmee cybercriminelen hun software onzichtbaar maakten voor antivirusprogramma’s. Deze actie, onderdeel van een internationale operatie, verstoort de verspreiding van malware en voorkomt nieuwe slachtoffers.
  • Microsoft maakt nieuwe accounts standaard wachtwoordloos
    Microsoft maakt nieuwe accounts standaard wachtwoordloos, waarbij gebruikers inloggen via passkeys, biometrie of verificatiecodes.
  • Amerikaanse overheid stopt financiering van MITRE
    De Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.
  • Microsoft dicht actief gebruikt zero-day lek in Windows
    Microsoft heeft recent updates uitgebracht die een zero-day kwetsbaarheid in vrijwel alle versies van Windows oplost. Deze kwetsbaarheid werd volgens diverse onderzoeken ingezet in ransomware-aanvallen om privilege escalation te doen.