Os atores do ransomware estão novamente usando o TeamViewer para obter acesso inicial aos endpoints das organizações e tentar implantar criptografadores baseados no construtor de ransomware LockBit vazado.
O TeamViewer é uma ferramenta legítima de acesso remoto amplamente utilizada no mundo empresarial, valorizada por sua simplicidade e capacidades.
Infelizmente, a ferramenta também é adorada por golpistas e até mesmo atores de ransomware, que a usam para acessar desktops remotos, descartando e executando arquivos maliciosos sem obstáculos.
Um caso parecido foi relatado pela primeira vez em março de 2016, quando várias vítimas confirmaram no fórum BleepingComputer que seus dispositivos foram violados usando o TeamViewer para criptografar arquivos com o ransomware Surprise.
Na época, a explicação do TeamViewer para o acesso não autorizado era o encaixe de credenciais, o que significa que os atacantes não exploraram uma vulnerabilidade zero-day no software, mas sim usaram as credenciais vazadas dos usuários.
"Como o TeamViewer é um software amplamente difundido, muitos criminosos online tentam se conectar com os dados de contas comprometidas, a fim de descobrir se existe uma conta TeamViewer correspondente com as mesmas credenciais", explicou o fornecedor do software na época.
"Se esse for o caso, há chances de eles poderem acessar todos os dispositivos atribuídos, a fim de instalar malware ou ransomware."
Um novo relatório da Huntress mostra que os cibercriminosos não abandonaram essas técnicas antigas, ainda assumindo o controle de dispositivos via TeamViewer para tentar implantar ransomware.
Os arquivos de log analisados (connections_incoming.txt) mostraram conexões da mesma fonte em ambos os casos, indicando um atacante comum.
No primeiro endpoint comprometido, a Huntress viu nos logs vários acessos por funcionários, indicando que o software era ativamente usado pela equipe para tarefas administrativas legítimas.
No segundo endpoint visto pela Huntress, que está em funcionamento desde 2018, não houve atividade nos logs nos últimos três meses, indicando que era monitorado com menos frequência, possivelmente tornando-o mais atraente para os atacantes.
Em ambos os casos, os atacantes tentaram implantar a payload do ransomware usando um arquivo de lote DOS (PP.bat) colocado na área de trabalho, que executou um arquivo DLL (payload) através de um comando rundll32.exe.
O ataque no primeiro endpoint teve sucesso, mas foi contido.
No segundo, o produto antivírus interrompeu o esforço, forçando tentativas repetidas de execução da payload sem sucesso.
Enquanto a Huntress não conseguiu atribuir os ataques com certeza a nenhuma gangue de ransomware conhecida, eles observam que é semelhante aos criptografadores LockBit criados usando um construtor LockBit Black vazado.
Em 2022, o construtor de ransomware para LockBit 3.0 foi vazado, com as gangues Bl00dy e Buhti rapidamente lançando suas próprias campanhas usando o construtor.
O construtor vazado permite que você crie diferentes versões do criptografador, incluindo um executável, um DLL e um DLL criptografado que requer uma senha para ser iniciado corretamente.
Com base nos IOCs fornecidos pela Huntress, os ataques por meio do TeamViewer parecem estar usando o DLL protegido por senha LockBit 3.
Enquanto o BleepingComputer não conseguiu encontrar a amostra específica vista pela Huntress, encontramos uma amostra diferente enviada para o VirusTotal na semana passada.
Essa amostra é detectada como LockBit Black, mas não usa a nota de ransomware LockBit 3.0 padrão, indicando que foi criada por outra gangue de ransomware usando o construtor vazado.
Embora não esteja claro como os atores de ameaças estão agora assumindo o controle das instâncias do TeamViewer, a empresa compartilhou a seguinte declaração com o BleepingComputer sobre os ataques e sobre a segurança das instalações.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...