TeamViewer este folosit din nou în atacuri ransomware. Cum te poți proteja
0Operatorii de ransomware și-au îndreptat din nou atenția către exploatarea TeamViewer pentru a obține acces inițial la dispozitivele organizațiilor, folosind celebrele instrumente de construcție ale ransomware-ului LockBit, scrie Bleeping Computer.
TeamViewer, o unealtă legitimă de acces la distanță, apreciată în lumea afacerilor pentru simplitatea și capacitățile sale, a devenit, din nefericire, o unealtă favorită și pentru escroci și actori de ransomware, care o utilizează pentru a obține acces la computere de la distanță, distribuind și executând fișiere malițioase fără obstacole.
Un caz similar a fost raportat în premieră, în martie 2016, când numeroase victime au confirmat pe forumurile BleepingComputer că dispozitivele lor au fost compromise folosind TeamViewer pentru a cripta fișierele cu ransomware-ul Surprise.
La acea vreme, explicația TeamViewer pentru accesul neautorizat a fost ”credential stuffing”, ceea ce înseamnă că atacatorii nu au exploatat o vulnerabilitate zero-day în software, ci au folosit în schimb datele de conectare ale utilizatorilor, care fuseseră deja furate.
"Deoarece TeamViewer este un software răspândit, mulți criminali online încearcă să se conecteze cu datele conturilor compromise, pentru a afla dacă există un cont corespunzător TeamViewer cu aceleași date de conectare", a explicat furnizorul de software la acea vreme.
"Dacă așa s-a întâmplat, există șanse să poată accesa toate dispozitive conectate, pentru a instala malware sau ransomware."
TeamViewer este din nou țintă
Un nou raport de la Huntress arată că infractorii cibernetici nu au abandonat aceste tehnici vechi, continuând să înroleze dispozitive prin intermediul TeamViewer pentru a încerca să implementeze ransomware.
Fișierele de jurnal analizate (connections_incoming.txt) au arătat conexiuni din aceeași sursă în ambele cazuri, indicând un atacator comun. În primul dispozitiv compromis, atacul a reușit, dar a fost controlat în cele din urmă, în timp ce pe al doilea, produsul antivirus a oprit efortul, forțând încercări repetate de executare a încărcăturii fără succes. Deși Huntress nu a putut atribui cu certitudine atacurile unor grupuri de ransomware cunoscute, ele par a fi similare cu encryptorii LockBit creați folosind un builder LockBit Black, apărut în 2022.
Jake Moore, Global Cyber Security Advisor pentru ESET, spune despre incident
”Măsurile de prevenție pe care companiile le iau în general pentru a se asigura că sunt protejate împotriva ransomware-ului sau a atacurilor malware sunt vitale, dar pot apărea lacune, iar grupurile criminale sofisticate vor exploata prompt orice vulnerabilitate existentă. Cele mai la îndemână acțiuni preventive prin care se protejează accesul neautorizat la sisteme, presupun utilizarea parolelor unice puternice, în paralel cu autentificarea multi-factor.
Sistemele și elementele hardware și software ale companiilor au nevoie permanent de actualizări prin care să li se aplice prompt toate patch-urile de securitate dezvoltate de producători. De asemenea, este vitală implementarea în infrastructurile IT a unor aplicații software de securitate de ultimă generație, ce utilizează mai multe nivele de detecție. Astfel se pot adresa toți vectorii multipli de atac posibili și pot fi prevenite incidentele ransomware, asigurându-se un nivel cât mai înalt de protecție. Rămân de importanță vitală backup-urile datelor critice, care trebuie stocate în afara locației de lucru și care trebuie menținunte deconectate de la rețeaua IT dar și exersarea din timp a proceselor de restaurare a datelor și a funcționalității sistemelor.”
Ce spune compania
În legătură cu atacurile și securizarea instalărilor TeamViewer a transmis următoarea declarație către BleepingComputer:
"La TeamViewer, luăm extrem de serios securitatea și integritatea platformei noastre și condamnăm fără echivoc orice formă de utilizare malefică a software-ului nostru.
Analiza noastră arată că majoritatea cazurilor de acces neautorizat implică slăbirea setărilor de securitate implicite ale TeamViewer. Acest lucru include adesea utilizarea de parole ușor de ghicit, ceea ce este posibil doar prin utilizarea unei versiuni depășite a produsului nostru. Subliniem constant importanța menținerii unor practici de securitate puternice, cum ar fi utilizarea de parole complexe, autentificarea în doi pași și actualizări regulate la cele mai recente versiuni de software. Acești pași sunt critici pentru protejarea împotriva accesului neautorizat.
Pentru a susține și mai mult utilizatorii în menținerea unor utilizări sigure, am publicat un set de bune practici pentru accesul nesupravegheat securizat, care pot fi găsite la [Bune practici pentru accesul nesupravegheat securizat - Suport TeamViewer]. Încurajăm cu tărie toți utilizatorii noștri să urmeze aceste ghiduri pentru a-și îmbunătăți securitatea."