Το TeamViewer είναι λογισμικό που οι οργανισμοί χρησιμοποιούν εδώ και καιρό για να επιτρέπουν την απομακρυσμένη υποστήριξη, τη συνεργασία και την πρόσβαση σε συσκευές τελικού σημείου. Όπως και άλλες νόμιμες τεχνολογίες απομακρυσμένης πρόσβασης, είναι επίσης κάτι που οι εισβολείς έχουν χρησιμοποιήσει με σχετική συχνότητα για να αποκτήσουν αρχική πρόσβαση στα συστήματα-στόχους.
Δύο περιστατικά απόπειρας ανάπτυξης ransomware που παρατήρησαν πρόσφατα οι ερευνητές στο Huntress είναι η πιο πρόσφατη περίπτωση.
Αποτυχημένες προσπάθειες ανάπτυξης Ransomware
Οι επιθέσεις που επισήμανε η Huntress στόχευαν δύο διαφορετικές συσκευές τελικού σημείου που ανήκουν σε πελάτες της Huntress. Και τα δύο περιστατικά αφορούσαν αποτυχημένες προσπάθειες εγκατάστασης αυτού που φαινόταν ως ransomware που βασίζεται σε ένα πρόγραμμα δημιουργίας που διέρρευσε για LockBit 3.0 ransomware.
Περαιτέρω έρευνα έδειξε ότι οι εισβολείς είχαν αποκτήσει αρχική πρόσβαση και στα δύο τελικά σημεία μέσω του TeamViewer. Τα αρχεία καταγραφής έδειχναν τις επιθέσεις που προέρχονται από ένα τελικό σημείο με το ίδιο όνομα κεντρικού υπολογιστή, υποδεικνύοντας ότι ο ίδιος παράγοντας απειλής βρισκόταν πίσω από τα δύο περιστατικά. Σε έναν από τους υπολογιστές, ο ηθοποιός της απειλής πέρασε κάτι περισσότερο από επτά λεπτά αφού απέκτησε την αρχική πρόσβαση μέσω του TeamViewer, ενώ στον άλλο, η συνεδρία του εισβολέα διήρκεσε περισσότερα από 10 λεπτά.
Η αναφορά του Huntress δεν ανέφερε πώς ο εισβολέας θα μπορούσε να είχε τον έλεγχο των περιπτώσεων TeamViewer και στις δύο περιπτώσεις. Αλλά ο Harlan Carvey, ανώτερος αναλυτής πληροφοριών απειλών στο Huntress, λέει ότι ορισμένες από τις συνδέσεις στο TeamViewer φαίνεται να προέρχονται από παλαιού τύπου συστήματα.
«Τα αρχεία καταγραφής δεν παρέχουν καμία ένδειξη σύνδεσης για αρκετούς μήνες ή εβδομάδες πριν από την πρόσβαση του ηθοποιού απειλής», λέει. "Σε άλλες περιπτώσεις, υπάρχουν αρκετές νόμιμες συνδέσεις, που συνάδουν με προηγούμενες συνδέσεις - όνομα χρήστη, όνομα σταθμού εργασίας, κ.λπ. - λίγο πριν από τη σύνδεση του παράγοντα απειλής."
Ο Carvey λέει ότι είναι πιθανό ο ηθοποιός της απειλής να τα κατάφερε αγορά πρόσβασης από έναν μεσίτη αρχικής πρόσβασης (IAB), και ότι τα διαπιστευτήρια και οι πληροφορίες σύνδεσης μπορεί να έχουν ληφθεί από άλλα τελικά σημεία μέσω της χρήσης infostealers, ενός καταγραφικού πληκτρολόγησης ή κάποιου άλλου μέσου.
Προηγούμενα περιστατικά του TeamViewer στον κυβερνοχώρο
Υπήρξαν αρκετά περιστατικά στο παρελθόν όπου οι επιτιθέμενοι χρησιμοποίησαν το TeamViewer με παρόμοιο τρόπο. Η μία ήταν μια εκστρατεία τον περασμένο Μάιο από έναν ηθοποιό απειλών που ήθελε να εγκαταστήσει το Λογισμικό κρυπτογράφησης XMRig σε συστήματα μετά την απόκτηση αρχικής πρόσβασης μέσω του εργαλείου. Ένας άλλος εμπλεκόμενος α εκστρατεία διείσδυσης δεδομένων που ερεύνησε η Χάντρες τον Δεκέμβριο. Τα αρχεία καταγραφής περιστατικών έδειξαν ότι ο ηθοποιός της απειλής είχε αποκτήσει μια αρχική βάση στο περιβάλλον του θύματος μέσω του TeamViewer. Πολύ νωρίτερα, η Kaspersky το 2020 ανέφερε για επιθέσεις που είχε παρατηρήσει περιβάλλοντα βιομηχανικού συστήματος ελέγχου που περιελάμβανε τη χρήση τεχνολογιών απομακρυσμένης πρόσβασης όπως RMS και TeamViewer για αρχική πρόσβαση.
Υπήρξαν επίσης περιστατικά στο παρελθόν - αν και λιγότερα - εισβολέων που χρησιμοποιούσαν το TeamViewer ως φορέα πρόσβασης σε καμπάνιες ransomware. Τον Μάρτιο του 2016, για παράδειγμα, αρκετοί οργανισμοί ανέφεραν ότι μολύνθηκαν από α στέλεχος ransomware που ονομάζεται "Surprise" ότι οι ερευνητές μπόρεσαν αργότερα να συνδεθούν με το TeamViewer.
Το λογισμικό απομακρυσμένης πρόσβασης του TeamViewer έχει εγκατασταθεί σε περίπου 2.5 δισεκατομμύρια συσκευές από τότε που κυκλοφόρησε η ομώνυμη εταιρεία το 2005. Πέρυσι, η εταιρεία περιέγραψε το λογισμικό της ως επί του παρόντος τρέχει σε περισσότερες από 400 εκατομμύρια συσκευές, από τα οποία τα 30 εκατομμύρια είναι συνδεδεμένα στο TeamViewer ανά πάσα στιγμή. Το τεράστιο αποτύπωμα του λογισμικού και η ευκολία χρήσης του το έχουν καταστήσει ελκυστικό στόχο για επιτιθέμενους, όπως και άλλες τεχνολογίες απομακρυσμένης πρόσβασης.
Πώς να χρησιμοποιήσετε το TeamViewer με ασφάλεια
Το ίδιο το TeamViewer έχει εφαρμόσει μηχανισμούς για να μετριάσει τον κίνδυνο κακής χρήσης του λογισμικού του από επιτιθέμενους για διάρρηξη συστημάτων. Η εταιρεία ισχυρίστηκε ότι ο μόνος τρόπος με τον οποίο ένας εισβολέας μπορεί να έχει πρόσβαση σε έναν υπολογιστή μέσω του TeamViewer είναι εάν ο εισβολέας έχει το αναγνωριστικό TeamViewer και τον σχετικό κωδικό πρόσβασης.
"Χωρίς να γνωρίζετε το αναγνωριστικό και τον κωδικό πρόσβασης, δεν είναι δυνατό για άλλους να έχουν πρόσβαση στον υπολογιστή σας", το η εταιρεία σημείωσε, ενώ απαριθμεί τα μέτρα που μπορούν να λάβουν οι οργανισμοί για να προστατευθούν από την κακή χρήση.
Αυτά περιλαμβάνουν:
-
Έξοδος από το TeamViewer όταν το λογισμικό δεν χρησιμοποιείται.
-
Χρήση των λειτουργιών της λίστας Αποκλεισμός και Αποδοχή του λογισμικού για περιορισμό της πρόσβασης σε συγκεκριμένα άτομα και συσκευές.
-
Περιορισμός της πρόσβασης σε ορισμένες λειτουργίες για εισερχόμενες συνδέσεις.
-
Και άρνηση συνδέσεων εκτός του εταιρικού δικτύου.
Η εταιρεία έχει επίσης επισημάνει την υποστήριξη του TeamViewer για πολιτικές πρόσβασης υπό όρους που επιτρέπουν στους διαχειριστές να επιβάλλουν δικαιώματα απομακρυσμένης πρόσβασης.
Σε μια δήλωση στο Dark Reading, το TeamViewer είπε ότι οι περισσότερες περιπτώσεις μη εξουσιοδοτημένης πρόσβασης συνεπάγονται αποδυνάμωση των προεπιλεγμένων ρυθμίσεων ασφαλείας του TeamViewer.
«Αυτό συχνά περιλαμβάνει τη χρήση εύκολα μαντέψιμων κωδικών πρόσβασης που είναι δυνατή μόνο με τη χρήση μιας παρωχημένης έκδοσης του προϊόντος μας», ανέφερε η δήλωση. «Τονίζουμε συνεχώς τη σημασία της διατήρησης ισχυρών πρακτικών ασφαλείας, όπως η χρήση πολύπλοκων κωδικών πρόσβασης, ο έλεγχος ταυτότητας δύο παραγόντων, οι λίστες επιτρεπόμενων και τακτικές ενημερώσεις στις πιο πρόσφατες εκδόσεις λογισμικού». Η δήλωση περιλάμβανε έναν σύνδεσμο προς βέλτιστες πρακτικές για ασφαλή πρόσβαση χωρίς επίβλεψη από την Υποστήριξη TeamViewer.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
- :έχει
- :είναι
- :δεν
- :που
- 10
- 2005
- 2016
- 2020
- 30
- 400
- 7
- 8
- a
- Ικανός
- πρόσβαση
- διαχειριστές
- Μετά το
- κατά
- επιτρέπουν
- Επίσης
- an
- αναλυτής
- και
- Άλλος
- κάθε
- εμφανίζομαι
- Εμφανίστηκε
- ΕΙΝΑΙ
- AS
- συσχετισμένη
- At
- Επιθέσεις
- προσπάθεια
- Προσπάθειες
- ελκυστικός
- βασίζονται
- BE
- ήταν
- πριν
- πίσω
- ανήκουν
- Δισεκατομμύριο
- Αποκλεισμός
- και οι δύο
- Διακοπή
- μεσίτης
- Builder
- αλλά
- by
- που ονομάζεται
- Εκστρατεία
- Καμπάνιες
- CAN
- περίπτωση
- περιπτώσεις
- ορισμένες
- Κύκλος
- ισχυρίστηκε
- συνεργασία
- εταίρα
- συγκρότημα
- υπολογιστή
- υπολογιστές
- συνδεδεμένος
- σύνδεση
- Διασυνδέσεις
- συνεπής
- συνεχώς
- έλεγχος
- Διαπιστεύσεις
- Τη στιγμή
- Πελάτες
- στον κυβερνοχώρο
- σκοτάδι
- Σκοτεινή ανάγνωση
- Δεκέμβριος
- Προεπιλογή
- ανάπτυξη
- περιγράφεται
- Συσκευές
- DID
- τρέλα
- Νωρίτερα
- ευκολία
- ευκολία στη χρήση
- εύκολα
- τονίζω
- ενεργοποιήσετε
- Τελικό σημείο
- επιβάλλω
- Εταιρεία
- Περιβάλλον
- κ.λπ.
- διήθηση
- Απέτυχε
- Μόδα
- Χαρακτηριστικά
- λιγότερα
- σημαία
- Ίχνος
- Για
- Συχνότητα
- από
- Κέρδος
- κέρδισε
- κερδίζει
- να πάρει
- είχε
- Έχω
- he
- Πως
- HTTPS
- ICON
- ID
- if
- εφαρμοστεί
- σπουδαιότητα
- in
- Σε άλλες
- περιστατικό
- περιλαμβάνουν
- περιλαμβάνονται
- περιλαμβάνει
- Εισερχόμενος
- ένδειξη
- άτομα
- πληροφορίες
- αρχικός
- εγκαθιστώ
- εγκατασταθεί
- παράδειγμα
- Νοημοσύνη
- σε
- έρευνα
- εμπλέκω
- συμμετέχουν
- IT
- ΤΟΥ
- εαυτό
- jpg
- μόλις
- Kaspersky
- Γνωρίζοντας
- Επίθετο
- Πέρυσι
- αργότερα
- αργότερο
- ξεκίνησε
- Κληροδότημα
- νόμιμος
- Μου αρέσει
- LINK
- Λιστα
- λίστα
- Σύνδεση
- Μακριά
- κοιτάζοντας
- που
- Η διατήρηση
- Μάρτιος
- Ενδέχεται..
- μέσα
- μέτρα
- μηχανισμούς
- ενδέχεται να
- εκατομμύριο
- Λεπτ.
- κακή χρήση
- Μετριάζω
- μήνες
- περισσότερο
- πλέον
- πολύ
- όνομα
- Ονομάστηκε
- δίκτυο
- δίκτυα
- Όχι.
- Σημειώνεται
- λαμβάνεται
- of
- συχνά
- on
- ONE
- αποκλειστικά
- or
- οργανώσεις
- καταγωγή
- ΑΛΛΑ
- Άλλα
- δικός μας
- εκτός
- επί
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- Πολιτικές
- δυνατός
- πρακτικές
- Πριν
- Προϊόν
- προστασία
- παρέχουν
- ransomware
- Ανάγνωση
- πρόσφατα
- τακτικός
- σχετικής
- μακρινός
- απομακρυσμένη πρόσβαση
- αναφέρουν
- αναφέρθηκαν
- ερευνητές
- περιορίζω
- δικαιώματα
- Κίνδυνος
- s
- Είπε
- ίδιο
- λένε
- λέει
- προστατευμένο περιβάλλον
- ασφάλεια
- αρχαιότερος
- Συνεδρίαση
- ρυθμίσεις
- επτά
- διάφοροι
- Σύντομα
- έδειξε
- παρόμοιες
- αφού
- λογισμικό
- μερικοί
- κάτι
- συγκεκριμένες
- πέρασε
- Δήλωση
- ισχυρός
- τέτοιος
- υποστήριξη
- έκπληξη
- σύστημα
- συστήματα
- Πάρτε
- λαμβάνεται
- στόχος
- στοχευμένες
- Τεχνολογίες
- Τεχνολογία
- από
- ότι
- Η
- τους
- Εκεί.
- αυτό
- αν και?
- απειλή
- Μέσω
- ώρα
- προς την
- εργαλείο
- δύο
- ανεξουσιοδότητος
- ενημερώσεις
- χρήση
- μεταχειρισμένος
- χρησιμοποιεί
- χρησιμοποιώντας
- Σταθερή
- εκδοχή
- εκδόσεις
- μέσω
- Θύμα
- ήταν
- Τρόπος..
- we
- Εβδ.
- ήταν
- Τι
- πότε
- Ποιό
- ενώ
- με
- χωρίς
- εργασίας
- έτος
- Σας
- zephyrnet