Les acteurs du ransomware utilisent à nouveau TeamViewer pour obtenir un accès initial aux terminaux de l’organisation et tenter de déployer des chiffrements basés sur le générateur de ransomware LockBit divulgué.
TeamViewer est un outil d’accès à distance légitime largement utilisé dans le monde de l’entreprise, apprécié pour sa simplicité et ses capacités.
Malheureusement, l’outil est également apprécié des escrocs et même des acteurs de ransomware, qui l’utilisent pour accéder à des postes de travail distants, en supprimant et en exécutant des fichiers malveillants sans entrave.
Un cas similaire a été signalé pour la première fois en mars 2016, lorsque de nombreuses victimes ont confirmé sur les forums Breachtrace que leurs appareils avaient été piratés à l’aide de TeamViewer pour crypter des fichiers avec le ransomware Surprise.
À l’époque, l’explication de TeamViewer pour l’accès non autorisé était le bourrage d’informations d’identification, ce qui signifie que les attaquants n’ont pas exploité une vulnérabilité zero-day dans le logiciel, mais ont plutôt utilisé les informations d’identification divulguées des utilisateurs.
« Comme TeamViewer est un logiciel largement répandu, de nombreux criminels en ligne tentent de se connecter avec les données de comptes compromis, afin de savoir s’il existe un compte TeamViewer correspondant avec les mêmes informations d’identification », a expliqué le fournisseur de logiciels à l’époque.
« Si tel est le cas, il y a de fortes chances qu’ils puissent accéder à tous les appareils attribués, afin d’installer des logiciels malveillants ou des ransomwares. »
TeamViewer à nouveau ciblé
Un nouveau rapport de Huntress montre que les cybercriminels n’ont pas abandonné ces anciennes techniques, prenant toujours le contrôle des appareils via TeamViewer pour essayer de déployer des ransomwares.
Les fichiers journaux analysés (connections_incoming.txt) a montré des connexions provenant de la même source dans les deux cas, indiquant un attaquant commun.
Dans le premier point de terminaison compromis, Huntress a vu dans les journaux plusieurs accès d’employés, indiquant que le logiciel était activement utilisé par le personnel pour des tâches administratives légitimes.
Dans le deuxième point de terminaison vu par Huntress, qui fonctionne depuis 2018, il n’y avait eu aucune activité dans les journaux au cours des trois derniers mois, ce qui indique qu’il était moins fréquemment surveillé, ce qui le rendait peut-être plus attrayant pour les attaquants.
Dans les deux cas, les attaquants ont tenté de déployer la charge utile du ransomware à l’aide d’un fichier batch DOS (pp.bat) placé sur le bureau, qui exécutait un fichier DLL (charge utile) via un rundll32.commande exe.
L’attaque sur le premier point final a réussi mais a été contenue. Sur le second, le produit antivirus a arrêté l’effort, forçant des tentatives répétées d’exécution de la charge utile sans succès.
Bien que Huntress n’ait pas été en mesure d’attribuer les attaques avec certitude à des gangs de ransomwares connus, ils notent qu’il est similaire aux chiffreurs LockBit créés à l’aide d’un constructeur LockBit Black divulgué.
En 2022, le générateur de ransomware pour Lock Bit 3.0 a été divulgué, les gangs Bl00dy et Buhti lançant rapidement leurs propres campagnes à l’aide du générateur.
Le générateur de fuites vous permet de créer différentes versions du chiffreur, y compris un exécutable, une DLL et une DLL cryptée qui nécessite un mot de passe pour se lancer correctement.
Sur la base des IOC fournis par Huntress, les attaques via TeamViewer semblent utiliser la DLL LockBit 3 protégée par mot de passe.
Bien que Breachtrace n’ait pas pu trouver l’échantillon spécifique vu par Huntress, nous avons trouvé un échantillon différent téléchargé sur VirusTotal la semaine dernière.
Cet échantillon est détecté comme Lock Bit Black mais n’utilise pas la note standard de ransomware Lock Bit 3.0, indiquant qu’il a été créé par un autre gang de ransomware utilisant le générateur divulgué.
Bien qu’il ne soit pas clair comment les acteurs de la menace prennent désormais le contrôle des instances de TeamViewer, la société a partagé la déclaration suivante avec Breachtrace sur les attaques et sur la sécurisation des installations.
« Chez TeamViewer, nous prenons la sécurité et l’intégrité de notre plateforme très au sérieux et condamnons sans équivoque toute forme d’utilisation malveillante de nos logiciels.
Notre analyse montre que la plupart des accès non autorisés impliquent un affaiblissement des paramètres de sécurité par défaut de TeamViewer. Cela inclut souvent l’utilisation de mots de passe facilement devinables, ce qui n’est possible qu’en utilisant une version obsolète de notre produit. Nous insistons constamment sur l’importance de maintenir de solides pratiques de sécurité, telles que l’utilisation de mots de passe complexes, l’authentification à deux facteurs, les listes d’autorisations et les mises à jour régulières des dernières versions logicielles. Ces étapes sont essentielles pour se protéger contre les accès non autorisés.
Pour aider davantage nos utilisateurs à maintenir des opérations sécurisées, nous avons publié un ensemble de bonnes pratiques pour un accès sécurisé sans surveillance, qui peuvent être consultées sur [Meilleures pratiques pour un accès sécurisé sans surveillance – Support TeamViewer]. Nous encourageons vivement tous nos utilisateurs à suivre ces directives pour améliorer leur posture de sécurité. »