Les cybercriminels utilisent des accès TeamViewer pour déployer des ransomwares !
Le logiciel de prise en main à distance TeamViewer est utilisé par les cybercriminels pour obtenir un accès initial aux machines des organisations, dans le but de déployer un ransomware ! Voici ce que l'on sait sur cette méthode d'attaque.
Pour rappel, TeamViewer est une application très populaire et utilisée mondialement pour effectuer de la prise en main à distance, que ce soit sur des postes de travail ou des serveurs. Ainsi, le fait de compromettre un accès TeamViewer peut permettre d'avoir directement accès à l'infrastructure d'une entreprise.
Pour cela, il n'est pas nécessaire que TeamViewer soit impacté par une faille de sécurité zero-day : la technique du credential stuffing peut tout à fait fonctionner, notamment si des identifiants fuites et qu'ils correspondent également à un compte TeamViewer.
Un nouveau rapport mis en ligne par Huntress montre que TeamViewer est toujours apprécié par les cybercriminels pour bénéficier d'un accès initial à l'infrastructure d'une organisation. Ceci peut commencer par un premier appareil, puis un second, etc... : "Une enquête sur chaque endpoint a montré que l'accès initial à chaque endpoint a été réalisé via TeamViewer." - A chaque fois, c'est la même adresse IP source qui est associée aux connexions, ce qui prouve qu'il s'agit bien des mêmes attaquants.
Dans le cadre de l'attaque analysée par Huntress, les attaquants avaient accès à deux machines par l'intermédiaire de TeamViewer. À chaque fois, les attaquants ont tenté de déployer un ransomware à l'aide d'un script Batch nommé "PP.bat" qui exécute un fichier DLL malveillant via une commande rundll32.exe.
Suite à l'analyse de ces attaques, Huntress n'a pas été en mesure de les attribuer avec certitude à un gang de ransomware, même s'il y a des similitudes avec le module de chiffrement utilisé par le ransomware LockBit. Tout porte à croire qu'il s'agit d'un ransomware mis au point par un nouveau gang qui aurait utilisé le builder de LockBit Black, ce dernier ayant fait l'objet d'un leak.
De son côté, TeamViewer invite ses utilisateurs à configurer correctement leur compte et les clients TeamViewer déployés sur les machines. L'éditeur fait référence à cette page qui regroupe les bonnes pratiques pour la configuration de l'accès non surveillé.
