TeamViewer usato per diffondere ransomware

Gli autori del ransomware utilizzano nuovamente TeamViewer per ottenere l'accesso iniziale agli endpoint dell'organizzazione e tentano di implementare crittografi basati sul builder di ransomware LockBit trapelato.

TeamViewer è uno strumento di accesso remoto legittimo ampiamente utilizzato nel mondo aziendale, apprezzato per la sua semplicità e capacità.

Sfortunatamente, lo strumento è apprezzato anche dai truffatori e persino dagli autori di ransomware, che lo utilizzano per ottenere l'accesso ai desktop remoti, eliminando ed eseguendo file dannosi senza ostacoli.

Un caso simile è stato segnalato per la prima volta nel marzo 2016, quando numerose vittime hanno confermato nei forum di BleepingComputer che i loro dispositivi erano stati violati utilizzando TeamViewer per crittografare i file con il ransomware Surprise.

All'epoca, la spiegazione di TeamViewer per l'accesso non autorizzato era il credential stuffing, il che significa che gli aggressori non sfruttavano una vulnerabilità zero-day nel software ma utilizzavano invece le credenziali trapelate dagli utenti.

"Poiché TeamViewer è un software molto diffuso, molti criminali online tentano di accedere con i dati di account compromessi per scoprire se esiste un account TeamViewer corrispondente con le stesse credenziali", ha spiegato all'epoca il fornitore del software.

"Se è così, è probabile che possano accedere a tutti i dispositivi assegnati per installare malware o ransomware."

TeamViewer ha preso nuovamente di mira

Un nuovo rapporto di Huntress mostra che i criminali informatici non hanno abbandonato queste vecchie tecniche, continuando a prendere il controllo dei dispositivi tramite TeamViewer per provare a distribuire ransomware.

I file di registro analizzati (connections_incoming.txt) mostravano in entrambi i casi connessioni dalla stessa fonte, indicando un aggressore comune.

Nel primo endpoint compromesso, Huntress ha riscontrato nei registri molteplici accessi da parte dei dipendenti, indicando che il software veniva utilizzato attivamente dal personale per attività amministrative legittime.

Nel secondo endpoint rilevato da Huntress, attivo dal 2018, non è stata rilevata alcuna attività nei log negli ultimi tre mesi, il che indica che veniva monitorato meno frequentemente, il che forse lo rendeva più attraente per gli aggressori.

In entrambi i casi gli aggressori hanno tentato di distribuire il payload del ransomware utilizzando un file batch DOS (PP.bat) posizionato sul desktop, che eseguiva un file DLL (payload) tramite il comando rundll32.exe.

Il file PP.bat utilizzato per eseguire la crittografia ransomware

Il file PP.bat utilizzato per eseguire la crittografia ransomware

Fonte: BleepingComputer

L'attacco al primo endpoint è riuscito ma è stato contenuto. Nel secondo, il prodotto antivirus ha interrotto il tentativo, costringendo a ripetuti tentativi di esecuzione del payload senza successo.

Anche se Huntress non è stata in grado di attribuire gli attacchi con certezza a nessuna banda di ransomware conosciuta, notano che è simile ai crittografi LockBit creati utilizzando un builder LockBit Black trapelato.

Nel 2022, il costruttore di ransomware per LockBit 3.0 è trapelato, con le bande Bl00dy e Buhti che hanno lanciato rapidamente le proprie campagne utilizzando il costruttore.

Il builder trapelato consente di creare diverse versioni del crittografo, incluso un eseguibile, una DLL e una DLL crittografata che richiede una password per essere avviata correttamente.

Sulla base degli IOC forniti da Huntress, gli attacchi tramite TeamViewer sembrano utilizzare la DLL LockBit 3 protetta da password.

Anche se BleepingComputer non è riuscito a trovare il campione specifico visto da Huntress, ne abbiamo trovato un altro caricato su VirusTotal la settimana scorsa.

Questo campione viene rilevato come LockBit Black ma non utilizza la nota standard del ransomware LockBit 3.0, indicando che è stato creato da un altro gruppo di ransomware utilizzando il builder trapelato.

Anche se non è chiaro come gli autori delle minacce stiano ora prendendo il controllo delle istanze di TeamViewer, l'azienda ha condiviso con BleepingComputer la seguente dichiarazione sugli attacchi e sulla messa in sicurezza delle installazioni.

"In TeamViewer prendiamo estremamente sul serio la sicurezza e l'integrità della nostra piattaforma e condanniamo inequivocabilmente qualsiasi forma di utilizzo dannoso del nostro software.

La nostra analisi mostra che la maggior parte dei casi di accesso non autorizzato comportano un indebolimento delle impostazioni di sicurezza predefinite di TeamViewer.

Ciò spesso include l'uso di password facilmente indovinabili, cosa possibile solo utilizzando una versione obsoleta del nostro prodotto.

Sottolineiamo costantemente l'importanza di mantenere solide pratiche di sicurezza, come l'utilizzo di password complesse, autenticazione a due fattori, elenchi di autorizzazioni e aggiornamenti regolari alle ultime versioni del software. Questi passaggi sono fondamentali per la protezione da accessi non autorizzati.

Per supportare ulteriormente i nostri utenti nel mantenere operazioni sicure, abbiamo pubblicato una serie di best practice per l'accesso automatico sicuro, reperibili in [Best practices for secure unattended access - TeamViewer Support].