TeamViewer è un software utilizzato da tempo dalle organizzazioni per consentire supporto remoto, collaborazione e accesso ai dispositivi endpoint. Come altre tecnologie legittime di accesso remoto, è anche qualcosa che gli aggressori hanno utilizzato con relativa frequenza per ottenere l’accesso iniziale ai sistemi presi di mira.
Due tentativi di distribuzione di ransomware osservati di recente dai ricercatori di Huntress sono l'ultimo caso in questione.
Tentativi di distribuzione del ransomware non riusciti
Gli attacchi segnalati da Huntress hanno preso di mira due diversi dispositivi endpoint appartenenti ai clienti di Huntress. Entrambi gli incidenti riguardavano tentativi falliti di installare quello che sembrava essere un ransomware basato su un builder trapelato Lockbit 3.0 ransomware.
Ulteriori indagini hanno dimostrato che gli aggressori avevano ottenuto l’accesso iniziale a entrambi gli endpoint tramite TeamViewer. I registri indicavano gli attacchi provenienti da un endpoint con lo stesso nome host, indicando che dietro entrambi gli incidenti c’era lo stesso autore della minaccia. Su uno dei computer, l’aggressore ha trascorso poco più di sette minuti dopo aver ottenuto l’accesso iniziale tramite TeamViewer, mentre sull’altro la sessione dell’aggressore è durata più di 10 minuti.
Il rapporto di Huntress non dice come l’aggressore avrebbe potuto prendere il controllo delle istanze di TeamViewer in entrambi i casi. Ma Harlan Carvey, analista senior di threat intelligence presso Huntress, afferma che alcuni degli accessi a TeamViewer sembrano provenire da sistemi legacy.
"I registri non forniscono alcuna indicazione sugli accessi per diversi mesi o settimane prima dell'accesso dell'autore della minaccia", afferma. "In altri casi, esistono diversi accessi legittimi, coerenti con gli accessi precedenti (nome utente, nome della workstation, ecc.) poco prima dell'accesso dell'autore della minaccia."
Carvey dice che è possibile che l'autore della minaccia sia riuscito a farlo acquistare l'accesso da un broker di accesso iniziale (IAB), e che le credenziali e le informazioni di connessione potrebbero essere state ottenute da altri endpoint tramite l'uso di infostealer, un registratore di tasti o altri mezzi.
Precedenti incidenti informatici di TeamViewer
In passato si sono verificati diversi incidenti in cui gli aggressori hanno utilizzato TeamViewer in modo simile. Una è stata una campagna condotta lo scorso maggio da un attore di minacce che cercava di installare il file Software di criptovaluta XMRig sui sistemi dopo aver ottenuto l'accesso iniziale tramite lo strumento. Un altro riguardava a campagna di esfiltrazione di dati su cui Huntress ha indagato a dicembre. I registri degli incidenti hanno mostrato che l’autore della minaccia aveva preso piede nell’ambiente della vittima tramite TeamViewer. Molto prima, nel 2020, Kaspersky aveva riferito di attacchi che aveva osservato ambienti dei sistemi di controllo industriale che prevedeva l'uso di tecnologie di accesso remoto come RMS e TeamViewer per l'accesso iniziale.
In passato si sono verificati anche incidenti, anche se meno, in cui gli aggressori hanno utilizzato TeamViewer come vettore di accesso nelle campagne ransomware. Nel marzo 2016, ad esempio, diverse organizzazioni hanno riferito di essere state infettate da a ceppo di ransomware chiamato “Surprise” che i ricercatori sono stati successivamente in grado di collegare a TeamViewer.
Il software di accesso remoto di TeamViewer è stato installato su circa 2.5 miliardi di dispositivi da quando l'azienda omonima è stata lanciata nel 2005. L'anno scorso, la società ha descritto il suo software come attualmente in esecuzione su oltre 400 milioni di dispositivi, di cui 30 milioni sono connessi a TeamViewer in qualsiasi momento. L’ampia impronta del software e la sua facilità d’uso lo hanno reso un obiettivo attraente per gli aggressori, proprio come altre tecnologie di accesso remoto.
Come utilizzare TeamViewer in modo sicuro
La stessa TeamViewer ha implementato meccanismi per mitigare il rischio che gli aggressori utilizzino in modo improprio il suo software per penetrare nei sistemi. La società ha affermato che l'unico modo in cui un utente malintenzionato può accedere a un computer tramite TeamViewer è se l'utente malintenzionato dispone dell'ID TeamViewer e della password associata.
"Senza conoscere l'ID e la password, non è possibile che altri accedano al tuo computer", afferma il l'azienda ha notato, elencando le misure che le organizzazioni possono adottare per proteggersi dagli abusi.
Questi includono:
-
Uscire da TeamViewer quando il software non è in uso;
-
Utilizzo delle funzionalità dell'elenco Blocca e Consenti del software per limitare l'accesso a individui e dispositivi specifici;
-
Limitare l'accesso a determinate funzionalità per le connessioni in entrata;
-
E negando connessioni dall'esterno della rete aziendale.
L’azienda ha inoltre sottolineato il supporto di TeamViewer per le politiche di accesso condizionato che consentono agli amministratori di applicare i diritti di accesso remoto.
In una dichiarazione a Dark Reading, TeamViewer ha affermato che la maggior parte dei casi di accesso non autorizzato comportano un indebolimento delle impostazioni di sicurezza predefinite di TeamViewer.
"Ciò spesso include l'uso di password facilmente indovinabili, cosa possibile solo utilizzando una versione obsoleta del nostro prodotto", si legge nella nota. "Sottolineiamo costantemente l'importanza di mantenere solide pratiche di sicurezza, come l'utilizzo di password complesse, l'autenticazione a due fattori, le liste consentite e gli aggiornamenti regolari alle ultime versioni del software." La dichiarazione includeva un collegamento a migliori pratiche per l'accesso sicuro e non presidiato dal supporto TeamViewer.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
- :ha
- :È
- :non
- :Dove
- 10
- 2005
- 2016
- 2020
- 30
- 400
- 7
- 8
- a
- capace
- accesso
- amministratori
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- consentire
- anche
- an
- analista
- ed
- Un altro
- in qualsiasi
- apparire
- apparso
- SONO
- AS
- associato
- At
- attacchi
- tentato
- Tentativi
- attraente
- basato
- BE
- stato
- prima
- dietro
- appartenente
- Miliardo
- Bloccare
- entrambi
- Rompere
- broker
- costruttore
- ma
- by
- detto
- Campagna
- Responsabile Campagne
- Materiale
- Custodie
- casi
- certo
- Cerchio
- rivendicato
- collaborazione
- azienda
- complesso
- computer
- computer
- collegato
- veloce
- Connessioni
- coerente
- costantemente
- di controllo
- Credenziali
- Attualmente
- Clienti
- Cyber
- Scuro
- Lettura oscura
- Dicembre
- Predefinito
- deployment
- descritta
- dispositivi
- DID
- disparato
- In precedenza
- alleviare
- facilità d'uso
- facilmente
- enfatizzare
- enable
- endpoint
- imporre
- Impresa
- Ambiente
- eccetera
- esfiltrazione
- fallito
- Moda
- Caratteristiche
- meno
- contrassegnato
- Orma
- Nel
- Frequenza
- da
- Guadagno
- guadagnato
- guadagnando
- ottenere
- ha avuto
- Avere
- he
- Come
- HTTPS
- ICON
- ID
- if
- implementato
- importanza
- in
- In altre
- incidente
- includere
- incluso
- inclusi
- In arrivo
- indicazione
- individui
- informazioni
- inizialmente
- install
- installato
- esempio
- Intelligence
- ai miglioramenti
- indagine
- coinvolgere
- coinvolto
- IT
- SUO
- stessa
- jpg
- ad appena
- Kaspersky
- Conoscere
- Cognome
- L'anno scorso
- dopo
- con i più recenti
- lanciato
- Eredità
- legittimo
- piace
- LINK
- Lista
- annuncio
- accesso
- Lunghi
- cerca
- fatto
- Mantenere
- Marzo
- Maggio..
- si intende
- analisi
- meccanismi di
- forza
- milione
- Minuti
- uso improprio
- Ridurre la perdita dienergia con una
- mese
- Scopri di più
- maggior parte
- molti
- Nome
- Detto
- Rete
- reti
- no
- noto
- ottenuto
- of
- di frequente
- on
- ONE
- esclusivamente
- or
- organizzazioni
- originario
- Altro
- Altri
- nostro
- al di fuori
- ancora
- Password
- Le password
- passato
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- Termini e Condizioni
- possibile
- pratiche
- Precedente
- Prodotto
- protegge
- fornire
- ransomware
- Lettura
- recentemente
- Basic
- parente
- a distanza
- accesso remoto
- rapporto
- Segnalati
- ricercatori
- limitare
- diritti
- Rischio
- s
- Suddetto
- stesso
- dire
- dice
- sicuro
- problemi di
- anziano
- Sessione
- impostazioni
- Sette
- alcuni
- In breve
- ha mostrato
- simile
- da
- Software
- alcuni
- qualcosa
- specifico
- esaurito
- dichiarazione
- forte
- tale
- supporto
- sorpresa
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- preso
- Target
- mirata
- Tecnologie
- Tecnologia
- di
- che
- I
- si
- Là.
- questo
- anche se?
- minaccia
- Attraverso
- tempo
- a
- seconda
- non autorizzato
- Aggiornamenti
- uso
- utilizzato
- usa
- utilizzando
- Fisso
- versione
- versioni
- via
- Vittima
- Prima
- Modo..
- we
- Settimane
- sono stati
- Che
- quando
- quale
- while
- con
- senza
- stazione di lavoro
- anno
- Trasferimento da aeroporto a Sharm
- zefiro