Μια συμμορία ransomware χρησιμοποιεί το νόμιμο εργαλείο απομακρυσμένης πρόσβασης, TeamViewer, για να αποκτήσει αρχική πρόσβαση σε συσκευές οργανισμών και να αναπτύξει encryptors που βασίζονται στο LockBit ransomware builder (που έχει διαρρεύσει).

Το TeamViewer είναι πολύ δημοφιλές μεταξύ των επιχειρήσεων, κυρίως λόγω της απλότητας και των δυνατοτήτων του.

Ωστόσο, στο παρελθόν έχει χρησιμοποιηθεί ξανά από εγκληματίες του κυβερνοχώρου, συμπεριλαμβανομένων ransomware συμμοριών, για την απόκτηση απομακρυσμένης πρόσβασης σε υπολογιστές και την εγκατάσταση και εκτέλεση κακόβουλων αρχείων.

Σύμφωνα με το BleepingComputer, κάτι τέτοιο συνέβη και το Μάρτιο του 2016, όταν πολλές συσκευές χρηστών παραβιάστηκαν μέσω TeamViewer για την κρυπτογράφηση αρχείων με το ransomware Surprise. Τότε, το TeamViewer είχε πει ότι η πρόσβαση έγινε μέσω credential stuffing και όχι λόγω της εκμετάλλευσης μιας ευπάθειας zero-day στο λογισμικό. Οι επιτιθέμενοι είχαν χρησιμοποιήσει credentials χρηστών που είχαν διαρρεύσει. Με τη χρήση των credentials μπορούσε να γίνει πρόσβαση στους λογαριασμούς και άρα, όπως είχε πει το TeamViewer, οι κυβερνοεγκληματίες μπορούσαν να έχουν “πρόσβαση σε όλες τις εκχωρημένες συσκευές, προκειμένου να εγκαταστήσουν κακόβουλο λογισμικό ή ransomware“.

Δείτε επίσης: Toronto Zoo: Προσωπικά στοιχεία υπαλλήλων κλάπηκαν λόγω ransomware

Το TeamViewer χρησιμοποιείται ξανά από συμμορία ransomware

Μια νέα αναφορά από τη Huntress λέει ότι οι κυβερνοεγκληματίες στρέφονται ξανά στο TeamViewer για να προσπαθήσουν να αναπτύξουν ransomware στις συσκευές θυμάτων.

Τα αρχεία καταγραφής που αναλύθηκαν (connections_incoming.txt) έδειξαν συνδέσεις από την ίδια πηγή και στις δύο περιπτώσεις, υποδεικνύοντας ότι ο επιτιθέμενος είναι ο ίδιος.

Στο πρώτο παραβιασμένο τελικό σημείο, η Huntress είδε πολλαπλές προσβάσεις από υπαλλήλους. Αυτό σημαίνει ότι το λογισμικό χρησιμοποιείται ενεργά από το προσωπικό για νόμιμες διοικητικές εργασίες.

Στο δεύτερο τελικό σημείο δεν υπήρχε καμία δραστηριότητα στα αρχεία καταγραφής τους τελευταίους τρεις μήνες, υποδεικνύοντας ότι παρακολουθούνταν λιγότερο συχνά. Αυτό το καθιστά πιο ελκυστικό για τους επιτιθέμενους.

Και στις δύο περιπτώσεις, οι εισβολείς προσπάθησαν να αναπτύξουν το ransomware payload χρησιμοποιώντας ένα DOS batch file (PP.bat) που τοποθετήθηκε στην επιφάνεια εργασίας. Αυτό εκτελούσε ένα αρχείο DLL (payload) μέσω μιας εντολής rundll32.exe.

Η επίθεση στο πρώτο τελικό σημείο πέτυχε αλλά μετριάστηκε. Στο δεύτερο, το προϊόν προστασίας από ιούς σταμάτησε την προσπάθεια, γεγονός που οδήγησε σε επαναλαμβανόμενες προσπάθειες εκτέλεσης του payload, χωρίς όμως επιτυχία.

Δείτε επίσης: Ποιες νέες ομάδες ransomware πρέπει να προσέχετε το 2024

Προς το παρόν, οι επιθέσεις μέσω TeamViewer δεν έχουν αποδοθεί σε κάποια συγκεκριμένη συμμορία, αλλά οι ερευνητές παρατήρησαν ότι χρησιμοποιούνται encryptors παρόμοιοι με του LockBit, που φαίνεται να δημιουργήθηκαν από το LockBit Black builder που έχει διαρρεύσει.

Η διαρροή έγινε το 2022 (ransomware builder για το LockBit 3.0) και αμέσως διάφορες συμμορίες το χρησιμοποίησαν. Το builder επιτρέπει τη δημιουργία διαφορετικών εκδόσεων του encryptor. Για παράδειγμα, σύμφωνα με την Huntress, οι πρόσφατες επιθέσεις μέσω του TeamViewer φαίνεται να χρησιμοποιούν το LockBit 3 DLL που προστατεύεται με κωδικό πρόσβασης.

Αν και δεν είναι σαφές πώς οι παράγοντες απειλών

παίρνουν τον έλεγχο των TeamViewer instances, η εταιρεία μοιράστηκε την ακόλουθη δήλωση με το BleepingComputer:

“Στο TeamViewer, λαμβάνουμε εξαιρετικά σοβαρά υπόψη την ασφάλεια και την ακεραιότητα της πλατφόρμας μας και καταδικάζουμε κάθε μορφή κακόβουλης χρήσης του λογισμικού μας.

Η ανάλυσή μας δείχνει ότι οι περισσότερες περιπτώσεις μη εξουσιοδοτημένης πρόσβασης περιλαμβάνουν αποδυναμωμένες προεπιλεγμένες ρυθμίσεις ασφαλείας του TeamViewer. Αυτό συχνά περιλαμβάνει τη χρήση εύκολα μαντέψιμων κωδικών πρόσβασης που είναι δυνατή μόνο με τη χρήση μιας παλιάς έκδοσης του προϊόντος μας. Τονίζουμε συνεχώς τη σημασία της διατήρησης ισχυρών πρακτικών ασφαλείας, όπως η χρήση πολύπλοκων κωδικών πρόσβασης, ο έλεγχος ταυτότητας δύο παραγόντων, τα allow-lists και οι τακτικές ενημερώσεις στις πιο πρόσφατες εκδόσεις λογισμικού. Αυτά τα βήματα είναι κρίσιμα για την προστασία από μη εξουσιοδοτημένη πρόσβαση.

Για την περαιτέρω υποστήριξη των χρηστών μας στη διατήρηση ασφαλών λειτουργιών, δημοσιεύσαμε ένα σύνολο βέλτιστων πρακτικών για ασφαλή πρόσβαση, τις οποίες μπορείτε να βρείτε στο [Best practices for secure unattended access – TeamViewer Support]. Ενθαρρύνουμε θερμά όλους τους χρήστες μας να ακολουθήσουν αυτές τις οδηγίες για να βελτιώσουν τη στάση ασφαλείας τους”.

Επομένως, σύμφωνα με τη δήλωση του TeamViewer, οι χρήστες πρέπει να λάβουν κάποια μέτρα για να εμποδίσουν την κατάχρηση του λογισμικού από ransomware συμμορίες:

Πρώτα απ’ όλα, είναι σημαντικό να ενημερώνετε συνεχώς το λογισμικό σας, συμπεριλαμβανομένου του TeamViewer. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν το δίκτυό σας από επιθέσεις ransomware.

Δείτε επίσης: Η πόλη Calvià στη Μαγιόρκα έπεσε θύμα επίθεσης ransomware

Δεύτερον, χρησιμοποιήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για όλους τους λογαριασμούς σας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στο δίκτυό σας μέσω του TeamViewer.

Τρίτον, ενεργοποιήστε τη διαδικασία επαλήθευσης δύο παραγόντων (2FA) στο TeamViewer. Το 2FA προσθέτει ένα επιπλέον επίπεδο ασφάλειας απαιτώντας ένα δεύτερο στοιχείο επαλήθευσης για να συνδεθείτε.

Τέταρτον, χρησιμοποιήστε λύσεις ασφαλείας δικτύου που παρέχουν προστασία από ransomware. Αυτές οι λύσεις μπορούν να ανιχνεύσουν και να μπλοκάρουν επιθέσεις ransomware πριν αυτές προλάβουν να προκαλέσουν ζημιά.

Τέλος, δημιουργήστε και διατηρήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας. Σε περίπτωση που το δίκτυό σας πέσει θύμα επίθεσης ransomware, θα μπορείτε να επαναφέρετε τα δεδομένα σας από τα αντίγραφα ασφαλείας αντί να πληρώσετε λύτρα.

Πηγή: www.bleepingcomputer.com