TeamViewer es un software que las organizaciones han utilizado durante mucho tiempo para permitir soporte remoto, colaboración y acceso a dispositivos terminales. Al igual que otras tecnologías legítimas de acceso remoto, también es algo que los atacantes han utilizado con relativa frecuencia para obtener acceso inicial a los sistemas de destino.

Dos intentos de incidentes de implementación de ransomware que los investigadores de Huntress observaron recientemente son el último ejemplo.

Intentos fallidos de implementación de ransomware

Los ataques que Huntress señaló se dirigieron a dos dispositivos terminales diferentes pertenecientes a clientes de Huntress. Ambos incidentes involucraron intentos fallidos de instalar lo que parecía ser ransomware basado en un constructor filtrado para ransomware LockBit 3.0.

Una investigación más profunda mostró que los atacantes habían obtenido acceso inicial a ambos puntos finales a través de TeamViewer. Los registros señalaron que los ataques se originaron desde un punto final con el mismo nombre de host, lo que indica que el mismo actor de amenazas estaba detrás de ambos incidentes. En una de las computadoras, el atacante pasó poco más de siete minutos después de obtener acceso inicial a través de TeamViewer, mientras que en la otra, la sesión del atacante duró más de 10 minutos.

El informe de Huntress no dice cómo el atacante pudo haber tomado el control de las instancias de TeamViewer en ambos casos. Pero Harlan Carvey, analista senior de inteligencia de amenazas de Huntress, dice que algunos de los inicios de sesión de TeamViewer parecen provenir de sistemas heredados.

"Los registros no proporcionan ninguna indicación de los inicios de sesión durante varios meses o semanas antes del acceso del actor de la amenaza", afirma. "En otros casos, hay varios inicios de sesión legítimos, consistentes con inicios de sesión anteriores (nombre de usuario, nombre de la estación de trabajo, etc.) poco antes del inicio de sesión del actor de la amenaza".

Carvey dice que es posible que el actor de la amenaza haya podido comprar acceso a un corredor de acceso inicial (IAB), y que las credenciales y la información de conexión pueden haberse obtenido de otros puntos finales mediante el uso de ladrones de información, un registrador de pulsaciones de teclas o algún otro medio.

Incidentes cibernéticos anteriores de TeamViewer

Ha habido varios incidentes anteriores en los que los atacantes utilizaron TeamViewer de manera similar. Una fue una campaña en mayo pasado por parte de un actor de amenazas que buscaba instalar el Software de criptominería XMRig en los sistemas después de obtener acceso inicial a través de la herramienta. Otro involucró a campaña de exfiltración de datos que Huntress investigó en diciembre. Los registros de incidentes mostraron que el actor de la amenaza había logrado un punto de apoyo inicial en el entorno de la víctima a través de TeamViewer. Mucho antes, Kaspersky informó en 2020 sobre los ataques que había observado en entornos de sistemas de control industrial que implicó el uso de tecnologías de acceso remoto como RMS y TeamViewer para el acceso inicial.

También ha habido incidentes en el pasado (aunque menos) de atacantes que utilizaron TeamViewer como vector de acceso en campañas de ransomware. En marzo de 2016, por ejemplo, varias organizaciones informaron haber sido infectadas con un Cepa de ransomware llamada "Sorpresa" que más tarde los investigadores pudieron vincular a TeamViewer.

El software de acceso remoto de TeamViewer se ha instalado en unos 2.5 millones de dispositivos desde que la empresa del mismo nombre se lanzó en 2005. El año pasado, la empresa describió su software como actualmente ejecutándose en más de 400 millones de dispositivos, de los cuales 30 millones están conectados a TeamViewer en cualquier momento. La gran huella del software y su facilidad de uso lo han convertido en un objetivo atractivo para los atacantes, al igual que otras tecnologías de acceso remoto.

Cómo utilizar TeamViewer de forma segura

El propio TeamViewer ha implementado mecanismos para mitigar el riesgo de que los atacantes hagan un mal uso de su software para ingresar a los sistemas. La compañía ha afirmado que la única forma en que un atacante puede acceder a una computadora a través de TeamViewer es si tiene el ID de TeamViewer y la contraseña asociada.

"Sin conocer el ID y la contraseña, no es posible que otras personas accedan a su computadora", dijo el la empresa ha observado, al tiempo que enumera las medidas que las organizaciones pueden tomar para protegerse contra el uso indebido.

Éstos incluyen:

La compañía también destacó el soporte de TeamViewer para políticas de acceso condicional que permiten a los administradores hacer cumplir los derechos de acceso remoto.

En una declaración a Dark Reading, TeamViewer dijo que la mayoría de los casos de acceso no autorizado implican un debilitamiento de la configuración de seguridad predeterminada de TeamViewer.

"Esto a menudo incluye el uso de contraseñas fáciles de adivinar, lo cual sólo es posible utilizando una versión desactualizada de nuestro producto", dice el comunicado. "Enfatizamos constantemente la importancia de mantener prácticas de seguridad sólidas, como el uso de contraseñas complejas, autenticación de dos factores, listas de permitidos y actualizaciones periódicas de las últimas versiones de software". La declaración incluía un enlace a Mejores prácticas para un acceso seguro y desatendido desde TeamViewer Support.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/endpoint-security/ransomware-actor-teamviewer-initial-access-networks