TeamViewer is software die organisaties al lang gebruiken om ondersteuning op afstand, samenwerking en toegang tot eindpuntapparaten mogelijk te maken. Net als andere legitieme technologieën voor externe toegang, is het ook iets dat aanvallers relatief vaak hebben gebruikt om initiële toegang te krijgen tot doelsystemen.

Twee pogingen tot implementatie van ransomware die onderzoekers van Huntress onlangs hebben waargenomen, zijn hiervan het meest recente voorbeeld.

Mislukte pogingen tot implementatie van ransomware

De aanvallen die Huntress signaleerde, waren gericht op twee verschillende eindpuntapparaten van klanten van Huntress. Bij beide incidenten ging het om mislukte pogingen om wat leek op ransomware te installeren op basis van een gelekte builder LockBit 3.0-ransomware.

Uit verder onderzoek bleek dat de aanvallers aanvankelijk toegang hadden gekregen tot beide eindpunten via TeamViewer. De logbestanden wezen op de aanvallen die afkomstig waren van een eindpunt met dezelfde hostnaam, wat aangeeft dat dezelfde bedreigingsacteur achter beide incidenten zat. Op de ene computer bracht de bedreigingsacteur iets meer dan zeven minuten door nadat hij de eerste toegang had verkregen via TeamViewer, terwijl op de andere de sessie van de aanvaller meer dan 10 minuten duurde.

In het rapport van Huntress werd niet vermeld hoe de aanvaller in beide gevallen de controle over de TeamViewer-instanties had kunnen overnemen. Maar Harlan Carvey, senior threat intelligence-analist bij Huntress, zegt dat sommige TeamViewer-logins afkomstig lijken te zijn van oudere systemen.

“De logboeken geven geen indicatie van logins gedurende enkele maanden of weken voordat de bedreigingsacteur toegang krijgt”, zegt hij. “In andere gevallen zijn er verschillende legitieme logins, consistent met eerdere logins – gebruikersnaam, naam van het werkstation, enz. – kort vóór de login van de bedreigingsacteur.”

Carvey zegt dat het mogelijk is dat de bedreigingsacteur daartoe in staat was toegang kopen bij een initiële toegangsmakelaar (IAB), en dat de inloggegevens en verbindingsinformatie mogelijk van andere eindpunten zijn verkregen door het gebruik van infostealers, een keystroke-logger of op een andere manier.

Vorige TeamViewer-cyberincidenten

Er zijn in het verleden verschillende incidenten geweest waarbij aanvallers TeamViewer op vergelijkbare wijze hebben gebruikt. Een daarvan was een campagne afgelopen mei van een bedreigingsacteur die de XMRig-cryptominingsoftware op systemen na het verkrijgen van initiële toegang via de tool. Een ander betrof a campagne voor data-exfiltratie die Huntress in december onderzocht. Uit incidentlogboeken bleek dat de bedreigingsacteur via TeamViewer een eerste voet aan de grond had gekregen in de slachtofferomgeving. Veel eerder rapporteerde Kaspersky in 2020 over aanvallen die het had waargenomen industriële besturingssysteemomgevingen waarbij voor de initiële toegang gebruik werd gemaakt van technologieën voor externe toegang, zoals RMS en TeamViewer.

Er zijn in het verleden ook incidenten geweest – zij het minder – waarbij aanvallers TeamViewer gebruikten als toegangsvector in ransomwarecampagnes. In maart 2016 meldden verschillende organisaties bijvoorbeeld dat ze besmet waren geraakt met a ransomware-variant genaamd “Surprise” dat onderzoekers later konden terugkoppelen naar TeamViewer.

De software voor externe toegang van TeamViewer is op ongeveer 2.5 miljard apparaten geïnstalleerd sinds het gelijknamige bedrijf in 2005 werd gelanceerd. Vorig jaar omschreef het bedrijf zijn software als momenteel draait op meer dan 400 miljoen apparaten, waarvan er 30 miljoen op elk moment verbonden zijn met TeamViewer. De enorme footprint en het gebruiksgemak van de software hebben het tot een aantrekkelijk doelwit gemaakt voor aanvallers, net als andere technologie voor externe toegang.

Hoe u TeamViewer veilig kunt gebruiken

TeamViewer heeft zelf mechanismen geïmplementeerd om het risico te beperken dat aanvallers de software misbruiken om in systemen in te breken. Het bedrijf heeft beweerd dat de enige manier waarop een aanvaller via TeamViewer toegang kan krijgen tot een computer, is als de aanvaller over de TeamViewer-ID en het bijbehorende wachtwoord beschikt.

“Zonder het ID en het wachtwoord te kennen, is het voor anderen niet mogelijk om toegang te krijgen tot uw computer”, aldus de woordvoerder bedrijf heeft opgemerkt, en geeft een overzicht van de maatregelen die organisaties kunnen nemen om zichzelf tegen misbruik te beschermen.

Deze omvatten:

Het bedrijf heeft ook gewezen op de steun van TeamViewer voor beleid voor voorwaardelijke toegang waarmee beheerders rechten voor externe toegang kunnen afdwingen.

In een verklaring aan Dark Reading zei TeamViewer dat de meeste gevallen van ongeautoriseerde toegang een verzwakking van de standaardbeveiligingsinstellingen van TeamViewer met zich meebrengen.

“Dit omvat vaak het gebruik van gemakkelijk te raden wachtwoorden, wat alleen mogelijk is door een verouderde versie van ons product te gebruiken”, aldus de verklaring. “We benadrukken voortdurend het belang van het handhaven van sterke beveiligingspraktijken, zoals het gebruik van complexe wachtwoorden, tweefactorauthenticatie, toelatingslijsten en regelmatige updates van de nieuwste softwareversies.” De verklaring bevatte een link naar best practices voor veilige onbeheerde toegang van TeamViewer Support.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks