TeamViewer er software, som organisationer længe har brugt til at muliggøre fjernsupport, samarbejde og adgang til slutpunktsenheder. Ligesom andre legitime fjernadgangsteknologier er det også noget, som angribere har brugt med relativ hyppighed for at få indledende adgang på målsystemer.
To forsøg på udrulning af ransomware, som forskere hos Huntress for nylig observerede, er det seneste eksempel.
Mislykkede forsøg på implementering af ransomware
De angreb, som Huntress rapporterede, var rettet mod to forskellige endepunktsenheder, der tilhører Huntress-kunder. Begge hændelser involverede mislykkede forsøg på at installere, hvad der så ud til at være ransomware baseret på en lækket builder til LockBit 3.0 ransomware.
Yderligere undersøgelser viste, at angriberne havde fået indledende adgang til begge endepunkter via TeamViewer. Logfilerne pegede på angrebene, der stammede fra et endepunkt med det samme værtsnavn, hvilket indikerer, at den samme trusselsaktør stod bag begge hændelser. På den ene computer brugte trusselsaktøren lidt over syv minutter efter at have fået første adgang via TeamViewer, mens angriberens session på den anden varede mere end 10 minutter.
Huntress' rapport sagde ikke, hvordan angriberen kunne have taget kontrol over TeamViewer-instanserne i begge tilfælde. Men Harlan Carvey, senior trusselintelligensanalytiker hos Huntress, siger, at nogle af TeamViewer-loginene ser ud til at være fra ældre systemer.
"Loggene giver ingen indikation af logins i flere måneder eller uger før trusselsaktørens adgang," siger han. "I andre tilfælde er der flere legitime logins, i overensstemmelse med tidligere logins - brugernavn, arbejdsstationsnavn osv. - kort før trusselsaktørens login."
Carvey siger, at det er muligt, at truslen skuespilleren var i stand til købe adgang fra en initial access broker (IAB), og at legitimationsoplysningerne og forbindelsesoplysningerne kan være opnået fra andre endepunkter ved brug af infostealere, en tastetrykslogger eller på anden måde.
Tidligere TeamViewer Cyber Incidents
Der har været flere tidligere hændelser, hvor angribere har brugt TeamViewer på lignende måde. Den ene var en kampagne i maj sidste år af en trusselsaktør, der ville installere XMRig kryptomineringssoftware på systemer efter at have fået første adgang via værktøjet. En anden involverede en dataeksfiltreringskampagne som Huntress undersøgte i december. Hændelseslogs viste, at trusselsaktøren havde fået et indledende fodfæste i offermiljøet via TeamViewer. Meget tidligere rapporterede Kaspersky i 2020 om angreb, den havde observeret på industrielle kontrolsystemmiljøer der involverede brugen af fjernadgangsteknologier såsom RMS og TeamViewer til indledende adgang.
Der har også været hændelser i fortiden - dog færre - af angribere, der bruger TeamViewer som en adgangsvektor i ransomware-kampagner. I marts 2016 rapporterede flere organisationer for eksempel at blive smittet med en ransomware-stamme kaldet "Surprise" at forskere senere var i stand til at binde tilbage til TeamViewer.
TeamViewers fjernadgangssoftware er blevet installeret på omkring 2.5 milliarder enheder siden det navngivne firma blev lanceret i 2005. Sidste år beskrev virksomheden sin software som pt. kører på mere end 400 millioner enheder, hvoraf 30 millioner til enhver tid er forbundet til TeamViewer. Softwarens enorme fodaftryk og dens brugervenlighed har gjort den til et attraktivt mål for angribere, ligesom anden fjernadgangsteknologi.
Sådan bruger du TeamViewer sikkert
TeamViewer har selv implementeret mekanismer til at mindske risikoen for, at angribere misbruger softwaren til at bryde ind i systemer. Virksomheden har hævdet, at den eneste måde, hvorpå en angriber kan få adgang til en computer via TeamViewer, er, hvis angriberen har TeamViewer-id'et og tilhørende adgangskode.
"Uden at kende ID og adgangskode er det ikke muligt for andre at få adgang til din computer," den selskabet har bemærket, mens de oplister foranstaltninger, som organisationer kan træffe for at beskytte sig mod misbrug.
Disse omfatter:
-
Afslutte TeamViewer, når softwaren ikke er i brug;
-
Brug af softwarens blokerings- og tilladlistefunktioner til at begrænse adgangen til bestemte personer og enheder;
-
Begrænsning af adgang til visse funktioner for indgående forbindelser;
-
Og nægter forbindelser uden for virksomhedens netværk.
Virksomheden har også peget på TeamViewers støtte til politikker for betinget adgang, der giver administratorer mulighed for at håndhæve fjernadgangsrettigheder.
I en erklæring til Dark Reading sagde TeamViewer, at de fleste tilfælde af uautoriseret adgang involverer en svækkelse af TeamViewers standard sikkerhedsindstillinger.
"Dette inkluderer ofte brugen af let gættelige adgangskoder, hvilket kun er muligt ved at bruge en forældet version af vores produkt," sagde erklæringen. "Vi understreger konstant vigtigheden af at opretholde stærk sikkerhedspraksis, såsom brug af komplekse adgangskoder, to-faktor-autentificering, tilladelseslister og regelmæssige opdateringer til de nyeste softwareversioner." Udtalelsen indeholdt et link til bedste praksis for sikker uovervåget adgang fra TeamViewer Support.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
- :har
- :er
- :ikke
- :hvor
- 10
- 2005
- 2016
- 2020
- 30
- 400
- 7
- 8
- a
- I stand
- adgang
- administratorer
- Efter
- mod
- tillade
- også
- an
- analytiker
- ,
- En anden
- enhver
- vises
- dukkede
- ER
- AS
- forbundet
- At
- Angreb
- forsøgt
- Forsøg på
- attraktivt
- baseret
- BE
- været
- før
- bag
- tilhører
- Billion
- Bloker
- både
- Pause
- mægler
- Builder
- men
- by
- kaldet
- Kampagne
- Kampagner
- CAN
- tilfælde
- tilfælde
- vis
- Circle
- hævdede
- samarbejde
- selskab
- komplekse
- computer
- computere
- tilsluttet
- tilslutning
- Tilslutninger
- konsekvent
- konstant
- kontrol
- Legitimationsoplysninger
- For øjeblikket
- Kunder
- Cyber
- mørk
- Mørk læsning
- december
- Standard
- implementering
- beskrevet
- Enheder
- DID
- dårskab
- tidligere
- lette
- brugervenlighed
- nemt
- understrege
- muliggøre
- Endpoint
- håndhæve
- Enterprise
- Miljø
- etc.
- eksfiltration
- mislykkedes
- Mode
- Funktionalitet
- færre
- Markeret
- Fodspor
- Til
- Frekvens
- fra
- Gevinst
- vundet
- vinder
- få
- havde
- Have
- he
- Hvordan
- HTTPS
- ICON
- ID
- if
- implementeret
- betydning
- in
- I andre
- hændelse
- omfatter
- medtaget
- omfatter
- Indgående
- tegn
- enkeltpersoner
- oplysninger
- initial
- installere
- installeret
- instans
- Intelligens
- ind
- undersøgelse
- involvere
- involverede
- IT
- ITS
- selv
- jpg
- lige
- Kaspersky
- Kendskab til
- Efternavn
- Sidste år
- senere
- seneste
- lanceret
- Legacy
- legitim
- ligesom
- LINK
- Liste
- notering
- Logge på
- Lang
- leder
- lavet
- Vedligeholdelse
- Marts
- Kan..
- midler
- foranstaltninger
- mekanismer
- måske
- million
- minutter
- misbruge
- afbøde
- måned
- mere
- mest
- meget
- navn
- Som hedder
- netværk
- net
- ingen
- bemærkede
- opnået
- of
- tit
- on
- ONE
- kun
- or
- organisationer
- Oprindelig
- Andet
- Andre
- vores
- uden for
- i løbet af
- Adgangskode
- Nulstilling/ændring af adgangskoder
- forbi
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- politikker
- mulig
- praksis
- Forud
- Produkt
- beskytte
- give
- ransomware
- Læsning
- for nylig
- fast
- relative
- fjern
- Remote Access
- indberette
- rapporteret
- forskere
- begrænse
- rettigheder
- Risiko
- s
- Said
- samme
- siger
- siger
- sikker
- sikkerhed
- senior
- Session
- indstillinger
- syv
- flere
- Inden længe
- viste
- lignende
- siden
- Software
- nogle
- noget
- specifikke
- brugt
- Statement
- stærk
- sådan
- support
- overraskelse
- systemet
- Systemer
- Tag
- taget
- mål
- målrettet
- Teknologier
- Teknologier
- end
- at
- selv
- Der.
- denne
- selvom?
- trussel
- Gennem
- tid
- til
- værktøj
- to
- uberettiget
- opdateringer
- brug
- anvendte
- bruger
- ved brug af
- Vast
- udgave
- versioner
- via
- Victim
- var
- Vej..
- we
- uger
- var
- Hvad
- hvornår
- som
- mens
- med
- uden
- arbejdsstation
- år
- Din
- zephyrnet