TeamViewer est un logiciel que les organisations utilisent depuis longtemps pour permettre l'assistance, la collaboration et l'accès à distance aux appareils finaux. Comme d’autres technologies légitimes d’accès à distance, c’est également quelque chose que les attaquants ont utilisé relativement fréquemment pour obtenir un accès initial aux systèmes cibles.
Deux tentatives de déploiement de ransomware que les chercheurs de Huntress ont récemment observées en sont le dernier exemple en date.
Échec des tentatives de déploiement de ransomwares
Les attaques signalées par Huntress visaient deux terminaux disparates appartenant à des clients Huntress. Les deux incidents impliquaient des tentatives infructueuses d'installation de ce qui semblait être un ransomware basé sur une fuite de constructeur pour Logiciel de rançon LockBit 3.0.
Une enquête plus approfondie a montré que les attaquants avaient obtenu un premier accès aux deux points de terminaison via TeamViewer. Les journaux indiquaient que les attaques provenaient d'un point final portant le même nom d'hôte, indiquant que le même acteur menaçant était à l'origine des deux incidents. Sur l’un des ordinateurs, l’auteur de la menace a passé un peu plus de sept minutes après avoir obtenu l’accès initial via TeamViewer, tandis que sur l’autre, la session de l’attaquant a duré plus de 10 minutes.
Le rapport de Huntress n’indique pas comment l’attaquant aurait pu prendre le contrôle des instances TeamViewer dans les deux cas. Mais Harlan Carvey, analyste principal des renseignements sur les menaces chez Huntress, affirme que certaines des connexions TeamViewer semblent provenir de systèmes existants.
« Les journaux ne fournissent aucune indication sur les connexions pendant plusieurs mois ou semaines avant l’accès de l’acteur malveillant », dit-il. « Dans d’autres cas, il existe plusieurs connexions légitimes, cohérentes avec les connexions précédentes – nom d’utilisateur, nom du poste de travail, etc. – peu de temps avant la connexion de l’acteur menaçant. »
Carvey dit qu'il est possible que l'auteur de la menace ait pu acheter un accès auprès d'un courtier d'accès initial (IAB), et que les informations d'identification et de connexion peuvent avoir été obtenues à partir d'autres points finaux grâce à l'utilisation d'infostealers, d'un enregistreur de frappe ou d'autres moyens.
Cyberincidents TeamViewer précédents
Il y a eu plusieurs incidents passés au cours desquels des attaquants ont utilisé TeamViewer de la même manière. L'une d'entre elles était une campagne menée en mai dernier par un acteur malveillant cherchant à installer le Logiciel de cryptominage XMRig sur les systèmes après avoir obtenu un accès initial via l'outil. Un autre impliquait un campagne d'exfiltration de données sur lequel Huntress a enquêté en décembre. Les journaux d’incidents ont montré que l’auteur de la menace avait pris un premier pied dans l’environnement de la victime via TeamViewer. Bien plus tôt, Kaspersky avait signalé en 2020 les attaques qu'il avait observées sur environnements de systèmes de contrôle industriels qui impliquait l'utilisation de technologies d'accès à distance telles que RMS et TeamViewer pour l'accès initial.
Il y a également eu des incidents dans le passé (bien que moins nombreux) où des attaquants ont utilisé TeamViewer comme vecteur d'accès dans des campagnes de ransomware. En mars 2016 par exemple, plusieurs organisations ont signalé avoir été infectées par un souche de ransomware appelée « Surprise » que les chercheurs ont ensuite pu relier à TeamViewer.
Le logiciel d'accès à distance de TeamViewer a été installé sur quelque 2.5 milliards d'appareils depuis le lancement de la société éponyme en 2005. L'année dernière, la société a décrit son logiciel comme étant actuellement fonctionnant sur plus de 400 millions d'appareils, dont 30 millions sont connectés à TeamViewer à tout moment. La vaste empreinte du logiciel et sa facilité d’utilisation en ont fait une cible attrayante pour les attaquants, tout comme les autres technologies d’accès à distance.
Comment utiliser TeamViewer en toute sécurité
TeamViewer lui-même a mis en œuvre des mécanismes pour atténuer le risque que des attaquants utilisent à mauvais escient son logiciel pour pénétrer dans les systèmes. La société a affirmé que la seule façon pour un attaquant d'accéder à un ordinateur via TeamViewer est de disposer de l'identifiant TeamViewer et du mot de passe associé.
"Sans connaître l'identifiant et le mot de passe, il n'est pas possible pour d'autres d'accéder à votre ordinateur", a déclaré le la société a noté, tout en énumérant les mesures que les organisations peuvent prendre pour se protéger contre les abus.
Il s'agit notamment de:
-
Quitter TeamViewer lorsque le logiciel n'est pas utilisé ;
-
Utiliser les fonctionnalités de liste de blocage et d'autorisation du logiciel pour restreindre l'accès à des personnes et à des appareils spécifiques ;
-
Restreindre l'accès à certaines fonctionnalités pour les connexions entrantes ;
-
Et en refusant les connexions extérieures au réseau de l’entreprise.
La société a également souligné la prise en charge par TeamViewer des politiques d’accès conditionnel qui permettent aux administrateurs d’appliquer les droits d’accès à distance.
Dans une déclaration à Dark Reading, TeamViewer a déclaré que la plupart des cas d'accès non autorisé impliquent un affaiblissement des paramètres de sécurité par défaut de TeamViewer.
"Cela inclut souvent l'utilisation de mots de passe faciles à deviner, ce qui n'est possible qu'en utilisant une version obsolète de notre produit", indique le communiqué. « Nous insistons constamment sur l'importance de maintenir de solides pratiques de sécurité, telles que l'utilisation de mots de passe complexes, l'authentification à deux facteurs, les listes d'autorisation et les mises à jour régulières des dernières versions du logiciel. » La déclaration comprenait un lien vers meilleures pratiques pour un accès sécurisé sans surveillance depuis le support TeamViewer.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks
