محققان امنیت سایبری در Huntress هشداری درباره افزایش اخیر حملات سایبری صادر کرده‌اند و استراتژی جدیدی را که توسط مجرمان سایبری که از TeamViewer برای استقرار باج‌افزار LockBit سوء استفاده می‌کنند، برجسته کرده‌اند.

TeamViewer یک ابزار دسترسی از راه دور محبوب در دنیای سازمانی است. متأسفانه، سالهاست که توسط کلاهبرداران و بازیگران باج افزار برای دسترسی به دسکتاپ های راه دور و اجرای فایل های مخرب مورد سوء استفاده قرار می گیرد. در مارس 2016، قربانیان زیادی گزارش دادند که دستگاه‌هایشان از طریق TeamViewer و تلاش‌هایی برای رمزگذاری فایل‌ها با باج‌افزار Surprise مورد نفوذ قرار گرفته است.

اخیراً بار دیگر، کارشناسان امنیت سایبری افزایش شگفت‌انگیزی در تلاش‌های مجرمان سایبری برای سوء استفاده از TeamViewer برای استقرار باج‌افزار LockBit مشاهده کرده‌اند که به طور بالقوه کاربران را در معرض درخواست‌های رمزگذاری داده و اخاذی قرار می‌دهد.

محققان ادعا می‌کنند مهاجمان از آسیب‌پذیری‌های TeamViewer برای دسترسی اولیه به دستگاه‌های قربانی سوء استفاده می‌کنند و سپس باج‌افزار تهاجمی LockBit را به کار می‌گیرند که فایل‌های حیاتی را رمزگذاری می‌کند و برای رمزگشایی، باج‌گیری قابل‌توجهی می‌خواهد.

اگرچه آلودگی‌ها یا مهار شدند یا از آنها جلوگیری شد، اما هیچ عملیات باج‌افزاری رسماً با این نفوذ مرتبط نبوده است. شایان ذکر است که در سال 2022، باج افزار LockBit 3.0 به بیرون درز پیدا کرد.

آخرین تحلیل تحلیلگران Huntress SOC نشان می دهد که مجرمان سایبری همچنان از تکنیک های قدیمی استفاده می کنند و از TeamViewer برای تصاحب دستگاه‌ها و استقرار باج افزار سوء استفاده می کنند. در یکی از موارد، همانطور که توسط Huntress مشاهده شد، یک عامل تهدید منفرد از TeamViewer برای به خطر انداختن دو نقطه پایانی با استقرار یک فایل دسته‌ای DOS بر روی دسکتاپ و اجرای یک بار DLL استفاده کرد.

در هر دو مورد، محققان Huntress شباهت‌هایی را مشاهده کردند و اشاره کردند که یک مهاجم مشترک می تواند مسئول باشد. این محققان چندین دسترسی کارمند را به اولین نقطه پایانی در معرض خطر مشاهده کرده که نشان می‌دهد از آن برای وظایف اداری قانونی استفاده می‌شود. نقطه پایانی دوم که از سال 2018 اجرا می‌شود، به مدت سه ماه هیچ فعالیتی در لاگ‌ها نداشت و این نشان می‌دهد که نظارت کمتری دارد و به طور بالقوه برای مهاجمان جذاب‌تر است.

TeamViewer موارد دسترسی غیرمجاز را به مشکلات موجود در تنظیمات امنیتی پیش‌فرض ابزار نسبت می‌دهد. به نظر می رسد این حملات از DLL محافظت شده با رمز عبور LockBit 3 استفاده می کنند. با این حال، Bleeping Computer نمونه متفاوتی را که در VirusTotal آپلود شده بود شناسایی کرد که به‌عنوان LockBit Black شناسایی شد، اما از یادداشت باج‌افزار استاندارد LockBit 3.0 استفاده نمی‌کرد، که نشان می‌دهد باند باج‌افزار دیگری در ایجاد سازنده دخالت داشته است.

گزارش‌ها حاکی از آن است که مهاجمان هنوز یک کمپین گسترده راه‌اندازی نکرده‌اند، که به این معنی است که پتانسیل گسترش وجود دارد. برای محافظت از خود، نرم‌افزار TeamViewer را به‌روزرسانی کنید، احراز هویت دو مرحله‌ای را فعال کنید، مراقب اتصالات مشکوک باشید و روی راه‌حل‌های امنیت سایبری حیاتی مانند آنتی‌ویروس، ضد بدافزار، و ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) سرمایه‌گذاری کنید تا تهدیدات احتمالی را شناسایی و از آن جلوگیری کنید.