TeamViewer se utiliza para nuevos ataques de ransomware

Los creadores de ransomware están volviendo a utilizar TeamViewer para obtener acceso inicial a los puntos finales de las organizaciones e intentar desplegar criptomonedas basadas en la filtración del creador de ransomware LockBit.

TeamViewer es una herramienta legítima de acceso remoto muy utilizada en el mundo empresarial, valorada por su sencillez y capacidades.

Por desgracia, esta herramienta también es popular entre los delincuentes e incluso entre los autores de ransomware, que la utilizan para acceder a escritorios remotos y soltar y ejecutar archivos maliciosos sin obstáculos.

En ese momento, TeamViewer explicó el acceso no autorizado como relleno de credenciales, lo que significa que los atacantes no habían explotado una vulnerabilidad de día cero en el software, sino que habían utilizado credenciales reveladas por los usuarios.

«Como TeamViewer es un software tan popular, muchos delincuentes en línea intentan conectarse con los datos de cuentas comprometidas para averiguar si existe una cuenta de TeamViewer correspondiente con las mismas credenciales», explicó entonces el editor del software.

«Si ese es el caso, hay muchas posibilidades de que puedan acceder a todos los dispositivos afectados, con el fin de instalar malware o ransomware».

TeamViewer de nuevo en el punto de mira

Un nuevo informe de Huntress muestra que los ciberdelincuentes no han abandonado estas viejas técnicas y siguen tomando el control de dispositivos a través de TeamViewer en un intento de desplegar ransomware.

Los archivos de registro analizados (connections_incoming.txt) mostraban conexiones procedentes de la misma fuente en ambos casos, lo que indica un atacante común.

En el primer endpoint comprometido, Huntress vio múltiples accesos de empleados en los registros, lo que indica que el software estaba siendo utilizado activamente por el personal para tareas administrativas legítimas.

En el segundo endpoint visto por Huntress, que ha estado funcionando desde 2018, no había habido actividad en los registros durante los últimos tres meses, lo que indica que se supervisaba con menos frecuencia, lo que puede haberlo hecho más atractivo para los atacantes.

En ambos casos, los atacantes intentaron desplegar la carga útil del ransomware utilizando un archivo por lotes DOS (PP.bat) colocado en el escritorio, que ejecuta un archivo DLL (carga útil) a través de un comando rundll32.exe.

El ataque al primer punto de acceso tuvo éxito, pero fue contenido. En el segundo, el antivirus detuvo el esfuerzo, forzando repetidos intentos fallidos de ejecutar la carga útil.

Aunque Huntress no pudo atribuir con seguridad los ataques a bandas conocidas de ransomware, la empresa señala que son similares a las criptomonedas LockBit creadas utilizando un constructor de LockBit Black filtrado.

En 2022, se filtró el generador de ransomware para LockBit 3.0, y las bandas Bl00dy y Buhti lanzaron rápidamente sus propias campañas utilizando el generador.

El generador filtrado permite crear diferentes versiones del encriptador, incluyendo un ejecutable, una DLL y una DLL encriptada que requiere una contraseña para lanzarse correctamente.

Según los IOC proporcionados por Huntress, los ataques a través de TeamViewer parecen utilizar la DLL LockBit 3 protegida por contraseña.

Aunque CiberNovedades no pudo encontrar la muestra específica vista por Huntress, sí encontramos una muestra diferente subida a VirusTotal la semana pasada.

Esta muestra se detecta como LockBit Black pero no utiliza la nota estándar del ransomware LockBit 3.0, lo que indica que fue creada por otra banda de ransomware utilizando el constructor filtrado.

Aunque no está claro cómo los actores de amenazas están tomando el control de las instancias de TeamViewer, la compañía compartió la siguiente declaración con CiberNovedades sobre los ataques y la seguridad de las instalaciones.

«En TeamViewer nos tomamos muy en serio la seguridad y la integridad de nuestra plataforma y condenamos inequívocamente cualquier forma de uso malintencionado de nuestro software.

Nuestros análisis muestran que la mayoría de los casos de acceso no autorizado implican un debilitamiento de la configuración de seguridad por defecto de TeamViewer. Esto incluye a menudo el uso de contraseñas fáciles de adivinar, lo que sólo es posible cuando se utiliza una versión obsoleta de nuestro producto. Insistimos constantemente en la importancia de mantener prácticas de seguridad sólidas, como el uso de contraseñas complejas, autenticación de dos factores, listas de autorización y actualizaciones periódicas a las últimas versiones de software. Estas medidas son esenciales para evitar accesos no autorizados.

Para ayudar aún más a nuestros usuarios a mantener operaciones seguras, hemos publicado un conjunto de prácticas recomendadas para el acceso desatendido seguro, que se puede encontrar en [Prácticas recomendadas para el acceso desatendido seguro – TeamViewer Support]. Recomendamos encarecidamente a todos nuestros usuarios que sigan estas directrices para mejorar su nivel de seguridad».