Програми-вимагачі знову використовують TeamViewer, щоб отримати початковий доступ до кінцевих точок організації та намагаються розгорнути шифрувальники на основі витоку розробника програм-вимагачів LockBit, повідомляє BleepingComputer.
TeamViewer – це законний інструмент віддаленого доступу, який широко використовується в корпоративному світі, цінується за його простоту та можливості.
На жаль, цей інструмент також люблять шахраї та навіть програми-вимагачі, які використовують його для отримання доступу до віддалених робочих столів, видалення та безперешкодного запуску шкідливих файлів.
Вперше про подібний випадок було повідомлено в березні 2016 року, коли численні жертви підтвердили на форумах BleepingComputer, що їхні пристрої були зламані за допомогою TeamViewer для шифрування файлів за допомогою програми-вимагача Surprise.
У той час команда TeamViewer пояснювала неавторизований доступ перекиданням облікових даних. Тобто зловмисники не використовували вразливість нульового дня у програмному забезпеченні, а замість цього використовували витік облікових даних користувачів.
«Оскільки TeamViewer є широко поширеним програмним забезпеченням, багато онлайн-злочинців намагаються увійти в систему за допомогою даних зламаних облікових записів, щоб з’ясувати, чи існує відповідний обліковий запис TeamViewer з такими ж обліковими даними», – пояснив тоді постачальник програмного забезпечення.
Якщо це так, то швидше за все вони зможуть отримати доступ до всіх призначених пристроїв, щоб встановити зловмисне програмне забезпечення або програми-вимагачі.
Новий звіт від Huntress показує, що кіберзлочинці не відмовилися від цих старих методів. Вони все ще захоплюють пристрої через TeamViewer, щоб спробувати розгорнути програми-вимагачі.
Проаналізовані файли журналу (connections_incoming.txt) показали підключення з одного джерела в обох випадках, що вказує на спільного зловмисника.
У першій скомпрометованій кінцевій точці Huntress побачила в журналах численні доступи співробітників. Це вказувало на те, що програмне забезпечення активно використовувалося персоналом для законних адміністративних завдань.
У другій кінцевій точці, зареєстрованій Huntress, яка працює з 2018 року, протягом останніх 3 місяців у журналах не було активності. Тому ймовірно, що вона рідше контролювалася. Можливо, саме це робило її більш привабливою для зловмисників.
В обох випадках хакери намагалися розгорнути програмне забезпечення-вимагач за допомогою пакетного файлу DOS (PP.bat), розміщеного на робочому столі, який виконував файл DLL (корисне навантаження) за допомогою команди rundll32.exe.
Атака на першу кінцеву точку вдалася, але була локалізована. На другому етапі антивірусний продукт припинив роботу, змушуючи повторюватися безуспішні спроби виконання корисного навантаження.
Хоча у Huntress не змогли з упевненістю приписати атаки будь-яким відомим групам програм-вимагачів, вони зазначають, що останні схожі на шифрувальники LockBit, створені за допомогою розкритого конструктора LockBit Black.
У 2022 році стався витік конструктора програм-вимагачів для LockBit 3.0, і банди Bl00dy та Buhti швидко запустили власні кампанії, використовуючи конструктор.
Витік конструктора дав змогу створювати різні версії шифрувальника, включно з виконуваним файлом, DLL і зашифрованою DLL, для правильного запуску якої потрібен пароль.
Згідно з даними IOC, наданими Huntress, атаки через TeamViewer здійснюються з використанням захищеної паролем бібліотеки LockBit 3 DLL.
Хоча BleepingComputer не зміг знайти конкретний зразок, який бачила Huntress, видання знайшло інший зразок, завантажений на VirusTotal минулого тижня.
Цей зразок визначено як LockBit Black, але він не використовує стандартну примітку про програму-вимагач LockBit 3.0. Це вказує на те, що її створила інша банда програм-вимагачів за допомогою конструктора, який витік.
Хоча поки й незрозуміло, як зловмисники тепер контролюють екземпляри TeamViewer, компанія поділилася такою заявою із BleepingComputer про атаки:
«У TeamViewer ми надзвичайно серйозно ставимося до безпеки та цілісності нашої платформи й однозначно засуджуємо будь-яку форму зловмисного використання нашого програмного забезпечення.
Наш аналіз показує, що більшість випадків неавторизованого доступу пов’язано з ослабленням параметрів безпеки TeamViewer за замовчуванням. Це часто включає використання паролів, які легко вгадати, що можливо лише за допомогою застарілої версії нашого продукту. Ми постійно наголошуємо на важливості дотримання надійних методів безпеки, таких як використання складних паролів, двофакторна автентифікація, дозволені списки та регулярні оновлення до останніх версій програмного забезпечення. Ці кроки є критично важливими для захисту від несанкціонованого доступу.
Щоб ще більше підтримати наших користувачів у прагненні здійснювати безпечні операції, ми опублікували набір найкращих практик щодо безпечного автоматичного доступу. Ми наполегливо рекомендуємо всім нашим користувачам дотримуватися цих вказівок, щоб підвищити рівень безпеки».
Раніше ProIT повідомляв, що Microsoft атакували російські хакери Midnight Blizzard.