Một Cuộc Tấn Công Ransomware Thông Qua Camera IP

Posted on by admin_1

Chống lại các cuộc tấn công ransomware lợi dụng thiết bị IoT trong doanh nghiệp

Các chuyên gia an ninh mạng sẽ còn nhắc đến cuộc tấn công bằng ransomware Akira như một ví dụ điển hình để rút ra bài học trong nhiều năm tới. Nhóm tấn công đã mã hóa hệ thống máy tính của tổ chức thông qua việc khai thác một camera giám sát. Dù thoạt nhìn có vẻ phi lý, chuỗi sự kiện lại tuân theo một logic rõ ràng, hoàn toàn có thể áp dụng tại bất kỳ tổ chức nào khác với các thiết bị khác nhau trong hạ tầng của họ.

Cách thức cuộc tấn công diễn ra

Kẻ tấn công đã khai thác một lỗ hổng trong ứng dụng công khai (public-facing application) để xâm nhập vào mạng nội bộ và thực thi lệnh trên máy bị nhiễm. Sau cú đột nhập ban đầu, chúng triển khai công cụ truy cập từ xa AnyDesk và khởi tạo phiên RDP đến máy chủ tệp (file server) của tổ chức. Khi đã truy cập được máy chủ, chúng cố gắng kích hoạt ransomware, nhưng hệ thống EDR (Endpoint Detection and Response) của tổ chức đã phát hiện và cách ly mối đe dọa. Tuy nhiên, điều đó vẫn chưa thể ngăn chặn được nhóm tấn công.

Không thể triển khai ransomware trên máy chủ và máy trạm do đã được bảo vệ bởi EDR, nhóm tấn công tiến hành quét mạng LAN và phát hiện một camera giám sát mạng. Dù báo cáo điều tra sự cố nhiều lần đề cập đến “webcam”, có thể xác định đây không phải camera tích hợp trên laptop hay điện thoại, mà là một thiết bị giám sát độc lập kết nối mạng.

Camera trở thành mục tiêu lý tưởng vì những lý do sau:

  • Firmware lỗi thời nghiêm trọng, dễ bị khai thác từ xa, cho phép kẻ tấn công truy cập shell và thực thi lệnh.
  • Thiết bị vận hành trên phiên bản Linux nhẹ, có thể chạy các binary phổ thông – và trùng hợp thay, bộ công cụ của Akira có chứa phần mềm mã hóa dành cho Linux.
  • Thiết bị này không có – và khó có khả năng hỗ trợ – các giải pháp EDR hay bất kỳ lớp bảo vệ nào để phát hiện hành vi độc hại.

Kẻ tấn công đã cài đặt mã độc lên camera, và sử dụng nó như bàn đạp để mã hóa dữ liệu trên hệ thống máy chủ của tổ chức.

Làm sao để tránh trở thành nạn nhân tiếp theo

Sự cố liên quan đến camera IP đã minh họa sinh động các nguyên tắc của một cuộc tấn công mạng có chủ đích, đồng thời cung cấp những bài học quan trọng về biện pháp phòng ngừa. Dưới đây là các khuyến nghị, được sắp xếp từ dễ đến khó triển khai:

  1. Hạn chế quyền truy cập của thiết bị chuyên dụng. Một nguyên nhân quan trọng dẫn đến sự cố là camera IP có quyền truy cập quá rộng đến hệ thống lưu trữ. Các thiết bị như vậy cần được đặt trong các subnet cách ly. Nếu không thể, hãy giới hạn quyền giao tiếp đến mức tối thiểu, ví dụ chỉ có thể ghi dữ liệu vào một thư mục nhất định trên một máy chủ cụ thể. Việc truy cập camera và thư mục này cũng nên bị giới hạn cho các máy trạm của bộ phận an ninh hoặc nhân sự được ủy quyền. Với camera, các hạn chế này có thể áp dụng dễ dàng hơn so với các thiết bị khác như máy in.
  2. Vô hiệu hóa các dịch vụ và tài khoản mặc định không cần thiết, thay đổi mật khẩu mặc định.
  3. Triển khai giải pháp EDR trên toàn bộ máy chủ, máy trạm và các thiết bị tương thích. Công cụ EDR được chọn phải có khả năng phát hiện hành vi bất thường như mã hóa từ xa qua giao thức SMB.
  4. Mở rộng chương trình quản lý lỗ hổng và cập nhật bản vá cho cả thiết bị thông minh và phần mềm máy chủ. Bắt đầu bằng việc kiểm kê đầy đủ các thiết bị này.
  5. Nơi nào khả thi, hãy triển khai cơ chế giám sát như gửi telemetry về hệ thống SIEM, ngay cả trên các thiết bị chuyên dụng không thể cài EDR: router, firewall, máy in, camera giám sát…
  6. Xem xét chuyển sang giải pháp XDR, tích hợp giám sát mạng và máy trạm với công nghệ phát hiện bất thường, đồng thời hỗ trợ phản ứng sự cố tự động và thủ công.

Kết luận

Vụ việc tấn công ransomware qua camera IP là lời cảnh tỉnh rõ ràng về những lỗ hổng bảo mật thường bị bỏ qua trong hạ tầng doanh nghiệp – đặc biệt là các thiết bị IoT. Dù không trực tiếp lưu trữ dữ liệu quan trọng hay vận hành các quy trình cốt lõi, những thiết bị này vẫn có thể trở thành bàn đạp cho các cuộc tấn công nghiêm trọng.

Các tổ chức cần nhìn nhận lại toàn bộ bức tranh an ninh mạng, không chỉ giới hạn ở máy chủ và máy trạm, mà phải bao gồm cả những thành phần “ít được chú ý” như camera giám sát, máy in, thiết bị mạng thông minh… Một hệ thống bảo mật hiệu quả đòi hỏi phải có cái nhìn toàn diện, tích hợp cả công nghệ phát hiện, quản trị rủi ro, và phản ứng nhanh khi sự cố xảy ra.

Trong kỷ nguyên mà mọi thiết bị đều có thể trở thành điểm yếu, khả năng phòng thủ phụ thuộc không chỉ vào công cụ, mà còn vào nhận thức và chiến lược bảo mật tổng thể của tổ chức.

Post Relate

Tin tức

Ransomware Ẩn Mình Trong Các Công Cụ AI Và Phần Mềm Doanh Nghiệp Giả Mạo
6 Tháng sáu, 2025

Tin tức

The North Face Cảnh Báo Khách Hàng Về Khả Năng Dữ Liệu Bị Đánh Cắp
5 Tháng sáu, 2025

Tin tức

Nạn Nhân Có Nguy Cơ Nhiễm AsyncRAT Sau Khi Bị Chuyển Hướng Đến Các Trang Booking.com Giả Mạo
3 Tháng sáu, 2025

Tin tức

5 Lý Do Mới Để Không Trả Tiền Chuộc Dữ Liệu
2 Tháng sáu, 2025

Tin tức

Google Chrome Sẽ Sử Dụng AI Để Chặn Các Trang Web Lừa Đảo Giả Mạo Hỗ Trợ Kỹ Thuật
30 Tháng năm, 2025

Chúng tôi, các chuyên gia về cyber security luôn sẵn sàng đồng hành cùng doanh nghiệp bạn

Chúng tôi tập trung vào các giải pháp Chống mã độc, đặc biệt là dòng mã độc mã hóa dữ liệu tống tiền và giải pháp Chống thất thoát dữ liệu (DLP).

Liên hệ ngay