TeamViewer sfruttato in nuovi attacchi con ransomware LockBit

TeamViewer è uno dei software di accesso remoto più popolari al mondo. Questo permette di controllare i computer senza essere fisicamente presenti, oltre a poter fornire supporto in un'azienda. Recentemente è stata individuata una nuova campagna di hacking che sfrutta questo servizio per ottenere l’accesso e distribuire ransomware. Un problema importante che, senza dubbio, può mettere in pericolo molti utenti. Secondo un nuovo report pubblicato dalla società di sicurezza LockBit 3.0, il ransomware diffuso dagli autori delle minacce è LockBit. Con questo malware, gli aggressori possono accedere a desktop remoti, scaricare ed eseguire file che potrebbero essere fraudolenti. Anche se Huntress non è stata in grado di attribuire gli attacchi con certezza a nessun gruppo di ransomware conosciuti, ha notato che è il nuovo simile ai crittografi LockBit creati utilizzando un builder LockBit Black trapelato.

TeamViewer: attacchi ransomware sfruttano DDL LockBit 3

I file di registro analizzati dai ricercatori di sicurezza (connections_incoming.txt) mostravano in entrambi i casi connessioni dalla stessa fonte, indicando un aggressore comune. Nel primo endpoint compromesso, Huntress ha riscontrato nei registri molteplici accessi da parte dei dipendenti. Ciò significa che TeamViewer veniva utilizzato attivamente dal personale per attività amministrative legittime. Nel secondo endpoint rilevato da Huntress, attivo dal 2018, non è stata rilevata alcuna attività nei log negli ultimi tre mesi. Ciò indica che questo veniva monitorato meno frequentemente. Probabilmente, questo lo rendeva più attraente per gli aggressori. In entrambi i casi gli hacker hanno tentato di distribuire il payload del ransomware utilizzando un file batch DOS (PP.bat) posizionato sul desktop, che eseguiva un file DLL (payload) tramite il comando rundll32.exe. L'attacco al primo endpoint è riuscito ma è stato contenuto. Nel secondo, l’antivirus ha interrotto il tentativo, costringendo a ripetuti tentativi di esecuzione del payload senza successo.

Nel 2022, è trapelato il builder del ransomware per LockBit 3.0, con i gruppi hacker Bl00dy e Buhti che hanno lanciato rapidamente le proprie campagne utilizzando il builder. Il builder trapelato consente di creare diverse versioni del crittografo, incluso un eseguibile, una DLL e una DLL crittografata che richiede una password per essere avviata correttamente. Sulla base degli IOC forniti da Huntress, gli attacchi tramite TeamViewer sembrano utilizzare la DLL LockBit 3 protetta da password. In un comunicato TeamViewer afferma che le sue analisi mostrano che la maggior parte dei casi di accesso non autorizzato sono dovuti a impostazioni di sicurezza deboli. Ciò è dovuto, ad esempio, all'utilizzo di password deboli e facili da indovinare.  L’azienda consiglia quindi di aggiornare il servizio. Gli hacker sono riusciti a sfruttare password semplici per l’accesso. Secondo TeamViewer, ciò significa che probabilmente stanno utilizzando una versione obsoleta del servizio.