Experter demonstrerar R4IoT Ransomware Attack of the Future
Forescout Technologies’ Vedere Labs har avslöjat en ny R4IoT ransomware-attack: en PoC ransomware-attack på IoT- och OT-utrustning.
Låt mig påminna er om att vi också sa det Ny version av Magniber Ransomware hotar Windows 11 Användare, och även det Utseendet av billigt Mörkkristall RAT-experter som är oroliga för skadlig programvara.
Enligt Daniel dos Santos, forskningschef vid Se Labs, detta är ”det första och enda arbetet som för närvarande överbryggar IT-världen, OT, och IoT ransomware.”
Schemat för attacken är följande: med hjälp av en IP-kamera, en hypotetisk hackare hackar sig in i en organisations IT-infrastruktur och använder den åtkomst som erhålls för att inaktivera den operativa-teknologiska (OT) Utrustning. Attacken utnyttjar befintliga kända sårbarheter och inkluderar inte nya exploateringar.
Under attacken, angriparen hackar nätverksanslutna övervakningskameror, i synnerhet från Axel och Hikvision. Dessa två leverantörer står för 77% av alla IP-kameror i företagsnätverk, enligt Forescout. För övrigt, mer än en halv miljon enheter använder fabrikskonfigurationen av VLAN 1, vilket innebär att kamerorna inte är korrekt konfigurerade för nätverkssegmentering.
Forskarna visade hur, använder sårbarheter i kameror, angripare kan köra kommandon för att få åtkomst till Windows-datorer. Därifrån, de kan utföra ytterligare kommandon för att upptäcka ytterligare maskiner som är anslutna till kamerorna och maskiner med svaga referenser, öppna RDP-portar, och etablera SSH-tunnlar.
Angriparna kan sedan använda denna åtkomst för att öppna en RDP-session, installera skadlig programvara, och inaktivera brandväggar och antiviruslösningar. Access tillåter hackare att höja sina privilegier, installera ransomware och gruvarbetare för kryptovaluta, och kör skadliga körbara filer som riktar sig till OT-system.
I deras video, experterna visade en simulering av en ransomware-attack på ett skensjukhus. Forskarna fick tillgång till IP-kameran och, genom det, sjukhusets nätverk, och identifierade den programmerbara logiska styrenheten som används för att styra sjukhusets HVAC-system. Efter att ha eskalerat sina privilegier, de installerade ransomware och inaktiverade HVAC.