Ransomware bende gebruikt webcam om systemen te versleutelen

door rgadminon Geplaatst op

Ransomware bende gebruikt webcam om systemen te versleutelen

Een ransomware bende genaamd Akira heeft een vrij ongebruikelijke methode gebruikt om ransomware te verspreiden in een netwerk. Hierbij hebben ze een op het netwerk aangesloten webcam ingezet om de ransomware te verspreiden. Hierdoor hebben ze een EDR-oplossing volledig kunnen omzeilen en vrijwel onzichtbaar ransomware kunnen verspreiden.

Remote access

Uit het onderzoek van S-RM blijkt dat de initiële toegang plaatsvond via een Remote Access-oplossing zoals bijvoorbeeld AnyDesk of RDP.
Nadat ze zich toegang hebben verschaft is er zeer waarschijnlijk data van het getroffen bedrijf gestolen om het slachtoffer mee af te persen.

source: S-RM

EDR

In eerste instantie heeft de bende zich lateraal verspreid op gebruikelijke manieren zoals RDP om hun payload te verspreiden, maar dit is opgemerkt en geblokkeert door de EDR (Ehanced Detection & Response) van de organisatie.

De bende heeft daarna een vrij ongebruikelijke methode ingezet om alsnog de payload te verspreiden.

Webcam

Vanaf het gecompromitteerde systeem hebben ze de ransomware payload verplaatst naar een slecht beveiligde webcam die op het netwerk was aangesloten.
Doordat deze webcam Linux als OS draaide kon deze gebruikt worden als punt voor verdere verspreiding van de malware.

EDR omzeilt door SMB

Door de ransomware payload niet op de endpoints uit te voeren maar op de webcam konden ze volledig buiten het zicht blijven van de EDR-oplossing.
Hierbij maakten ze via SMB verbinding met de endpoints en servers in het netwerk om zo via het netwerk alsnog de data te kunnen versleutelen.

Segmentatie

In deze case wordt het belang onderstreept van het scheiden van devices binnen netwerken. In dit geval is het altijd aan te raden om IoT (Internet of Things) devices zoals webcams, maar ook bijvoorbeeld airco’s af te schermen een apart (virtueel) netwerk zodat ze nergens anders verbinding mee kunnen maken als het Internet, zeker nu dit soort apparaten slimmer worden en vaak een Linux-variant draaien en in feite een kleine computer zijn.

Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.

Meer weten? Neem contact met ons op!

Neem contact met ons op

Meer artikelen

  • Ransomware bende gebruikt webcam om systemen te versleutelen
    Ransomware bende gebruikt webcams om ransomware ongezien in een netwerk te verspreiden.
  • Malware vermomd als CAPTCHA-verificatie
    Nieuwe malware doet zich voor als een defecte CAPTCHA. Gebruikers volgen herstelinstructies, maar voeren zo onbewust malware uit.
  • Biometrische authenticatie & deepfakes
    Biometrische beveiliging is kwetsbaar door deepfakes. Geavanceerde AI kan vingerafdrukken, gezichten en stemmen nabootsen, wat serieuze risico’s oplevert.
  • Schaduw AI: innovatie & verborgen gevaren
    Het is in steeds meer software en oplossingen terug te vinden: AI. Binnen organisaties worden deze AI-oplossingen ook steeds meer als hulpmiddel gebruikt om diverse taken uit te oefenen zoals het genereren van teksten of zelfs hele presentaties. Maar wie gebruikt er AI binnen de organisatie en welke AI-oplossingen worden er ingezet?
  • Proof-of-concept exploit laat Windows Domain Controllers crashen
    Er is een proof-of-concept exploit uitgebracht welke misbruik maakt van het al gedichtte lek in Microsoft Windows onder noemer CVE-2024-49113. Door deze PoC kunnen kwetsbare Domain Controllers crashen en rebooten door een speciaal gefabriceerd LDAP-request te sturen.