TeamViewer ist eine Software, die Unternehmen seit langem verwenden, um Remote-Support, Zusammenarbeit und Zugriff auf Endpunktgeräte zu ermöglichen. Wie andere legitime Fernzugriffstechnologien wird es auch von Angreifern relativ häufig eingesetzt, um sich ersten Zugriff auf Zielsysteme zu verschaffen.

Zwei Vorfälle mit versuchter Ransomware-Bereitstellung, die Forscher von Huntress kürzlich beobachtet haben, sind das jüngste Beispiel.

Fehlgeschlagene Ransomware-Bereitstellungsversuche

Die von Huntress gemeldeten Angriffe zielten auf zwei unterschiedliche Endgeräte von Huntress-Kunden ab. Bei beiden Vorfällen handelte es sich um fehlgeschlagene Versuche, scheinbar Ransomware zu installieren, die auf einem durchgesickerten Builder für basiert LockBit 3.0-Ransomware.

Weitere Untersuchungen ergaben, dass sich die Angreifer zunächst über TeamViewer Zugriff auf beide Endpunkte verschafft hatten. Die Protokolle deuteten darauf hin, dass die Angriffe von einem Endpunkt mit demselben Hostnamen ausgingen, was darauf hindeutet, dass hinter beiden Vorfällen derselbe Bedrohungsakteur steckte. Auf einem der Computer verbrachte der Bedrohungsakteur nach dem ersten Zugriff über TeamViewer etwas mehr als sieben Minuten, während auf dem anderen die Sitzung des Angreifers mehr als zehn Minuten dauerte.

In dem Bericht von Huntress wurde nicht dargelegt, wie der Angreifer in beiden Fällen die Kontrolle über die TeamViewer-Instanzen erlangt haben könnte. Doch Harlan Carvey, Senior Threat Intelligence Analyst bei Huntress, sagt, dass einige der TeamViewer-Anmeldungen offenbar von Altsystemen stammen.

„Die Protokolle geben mehrere Monate oder Wochen lang keine Hinweise auf Anmeldungen, bevor der Bedrohungsakteur Zugriff erhält“, sagt er. „In anderen Fällen gibt es mehrere legitime Anmeldungen, die mit früheren Anmeldungen – Benutzername, Workstation-Name usw. – kurz vor der Anmeldung des Bedrohungsakteurs übereinstimmen.“

Carvey sagt, es sei möglich, dass der Bedrohungsakteur dazu in der Lage war Erwerb des Zugangs von einem Initial Access Broker (IAB), und dass die Anmeldeinformationen und Verbindungsinformationen möglicherweise von anderen Endpunkten durch den Einsatz von Infostealern, einem Tastenanschlag-Logger oder auf andere Weise abgerufen wurden.

Frühere TeamViewer-Cybervorfälle

In der Vergangenheit gab es mehrere Vorfälle, bei denen Angreifer TeamViewer auf ähnliche Weise nutzten. Eine davon war eine Kampagne im vergangenen Mai eines Bedrohungsakteurs, der das installieren wollte XMRig-Kryptomining-Software auf Systemen nach dem ersten Zugriff über das Tool. Ein anderer betraf a Datenexfiltrationskampagne dass Huntress im Dezember ermittelte. Vorfallprotokolle zeigten, dass der Bedrohungsakteur über TeamViewer erstmals in der Umgebung des Opfers Fuß gefasst hatte. Viel früher hatte Kaspersky im Jahr 2020 über die von ihm beobachteten Angriffe berichtet industrielle Steuerungssystemumgebungen Dazu gehörte der Einsatz von Fernzugriffstechnologien wie RMS und TeamViewer für den Erstzugriff.

In der Vergangenheit kam es auch – wenn auch in geringerer Zahl – zu Vorfällen, bei denen Angreifer TeamViewer als Zugriffsvektor in Ransomware-Kampagnen nutzten. Im März 2016 meldeten beispielsweise mehrere Organisationen eine Infektion mit a Ransomware-Stamm namens „Surprise“ dass die Forscher später auf TeamViewer zurückgreifen konnten.

Die Fernzugriffssoftware von TeamViewer wurde seit der Gründung des gleichnamigen Unternehmens im Jahr 2.5 auf rund 2005 Milliarden Geräten installiert. Im vergangenen Jahr bezeichnete das Unternehmen seine Software als aktuell läuft auf mehr als 400 Millionen Geräten, davon sind jederzeit 30 Millionen mit TeamViewer verbunden. Der enorme Umfang der Software und ihre Benutzerfreundlichkeit haben sie wie andere Fernzugriffstechnologien zu einem attraktiven Ziel für Angreifer gemacht.

So verwenden Sie TeamViewer sicher

TeamViewer selbst hat Mechanismen implementiert, um das Risiko zu mindern, dass Angreifer seine Software missbrauchen, um in Systeme einzudringen. Das Unternehmen behauptet, dass ein Angreifer nur dann über TeamViewer auf einen Computer zugreifen kann, wenn er über die TeamViewer-ID und das zugehörige Passwort verfügt.

„Ohne Kenntnis der ID und des Passwortes ist es für andere nicht möglich, auf Ihren Computer zuzugreifen“, heißt es Das Unternehmen hat festgestellt, und listet Maßnahmen auf, die Organisationen ergreifen können, um sich vor Missbrauch zu schützen.

Diese umfassen:

Das Unternehmen hat außerdem darauf hingewiesen, dass TeamViewer Richtlinien für bedingten Zugriff unterstützt, die es Administratoren ermöglichen, Fernzugriffsrechte durchzusetzen.

In einer Erklärung gegenüber Dark Reading sagte TeamViewer, dass die meisten Fälle von unbefugtem Zugriff mit einer Schwächung der Standardsicherheitseinstellungen von TeamViewer einhergehen.

„Dazu gehört oft die Verwendung leicht zu erratender Passwörter, was nur durch die Verwendung einer veralteten Version unseres Produkts möglich ist“, heißt es in der Erklärung. „Wir betonen ständig, wie wichtig es ist, strenge Sicherheitspraktiken einzuhalten, wie z. B. die Verwendung komplexer Passwörter, Zwei-Faktor-Authentifizierung, Zulassungslisten und regelmäßige Updates auf die neuesten Softwareversionen.“ Die Erklärung enthielt einen Link zu Best Practices für sicheren unbeaufsichtigten Zugriff vom TeamViewer-Support.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks