Os invasores têm aproveitado cada vez mais a ferramenta de acesso remoto amplamente utilizada, instalada em centenas de milhões de endpoints, para invadir os ambientes das vítimas.

TeamViewer é um software que as organizações usam há muito tempo para permitir suporte remoto, colaboração e acesso a dispositivos endpoint. Tal como outras tecnologias legítimas de acesso remoto, também é algo que os atacantes têm utilizado com relativa frequência para obter acesso inicial aos sistemas alvo.

Duas tentativas de implantação de ransomware que os pesquisadores da Huntress observaram recentemente são os casos mais recentes.

Tentativas sem sucesso de implantação de ransomware

Os ataques sinalizados pela Huntress tiveram como alvo dois dispositivos terminais diferentes pertencentes a clientes da Huntress. Ambos os incidentes envolveram tentativas fracassadas de instalar o que parecia ser um ransomware baseado em um construtor vazado para o ransomware LockBit 3.0.

Uma investigação mais aprofundada mostrou que os invasores obtiveram acesso inicial a ambos os endpoints por meio do TeamViewer. Os registros apontaram para ataques originados de um endpoint com o mesmo nome de host, indicando que o mesmo agente da ameaça estava por trás de ambos os incidentes. Em um dos computadores, o autor da ameaça passou pouco mais de sete minutos após obter o acesso inicial via TeamViewer, enquanto no outro, a sessão do invasor durou mais de 10 minutos.

O relatório da Huntress não disse como o invasor pode ter assumido o controle das instâncias do TeamViewer em ambos os casos. Mas Harlan Carvey, analista sênior de inteligência de ameaças da Huntress, diz que alguns dos logins do TeamViewer parecem ser de sistemas legados.

“Os registros não fornecem nenhuma indicação de logins durante vários meses ou semanas antes do acesso do agente da ameaça”, diz ele. “Em outros casos, existem vários logins legítimos, consistentes com logins anteriores – nome de usuário, nome da estação de trabalho, etc. – pouco antes do login do agente da ameaça.”

Carvey diz que é possível que o autor da ameaça tenha conseguido adquirir acesso de um corretor de acesso inicial (IAB) e que as credenciais e informações de conexão possam ter sido obtidas de outros endpoints por meio do uso de infostealers, um registrador de pressionamento de tecla ou algum outro significa.

Incidentes cibernéticos anteriores do TeamViewer

Houve vários incidentes anteriores em que invasores usaram o TeamViewer de maneira semelhante. Uma delas foi uma campanha realizada em maio passado por um agente de ameaças que buscava instalar o software de criptomineração XMRig em sistemas após obter acesso inicial por meio da ferramenta. Outro envolveu uma campanha de exfiltração de dados que a Huntress investigou em dezembro. Os registros de incidentes mostraram que o autor da ameaça ganhou uma posição inicial no ambiente da vítima por meio do TeamViewer. Muito antes, a Kaspersky relatou em 2020 ataques que observou em ambientes de sistemas de controle industrial que envolviam o uso de tecnologias de acesso remoto, como RMS e TeamViewer, para acesso inicial.

Também houve incidentes no passado – embora em menor número – de invasores usando o TeamViewer como vetor de acesso em campanhas de ransomware. Em março de 2016, por exemplo, várias organizações relataram ter sido infectadas por uma variedade de ransomware chamada “Surprise”, que os pesquisadores mais tarde conseguiram vincular ao TeamViewer.

O software de acesso remoto TeamViewer foi instalado em cerca de 2,5 bilhões de dispositivos desde o lançamento da empresa de mesmo nome em 2005. No ano passado, a empresa descreveu seu software como sendo executado atualmente em mais de 400 milhões de dispositivos, dos quais 30 milhões estão conectados ao TeamViewer a qualquer momento. . A vasta área de cobertura do software e sua facilidade de uso tornaram-no um alvo atraente para invasores, assim como outras tecnologias de acesso remoto.

Como usar o TeamViewer com segurança

O próprio TeamViewer implementou mecanismos para mitigar o risco de invasores usarem indevidamente seu software para invadir sistemas. A empresa afirmou que a única maneira de um invasor acessar um computador via TeamViewer é se o invasor tiver o ID TeamViewer e a senha associada.

“Sem saber o ID e a senha, não é possível que outras pessoas acessem o seu computador”, observou a empresa, ao listar medidas que as organizações podem tomar para se protegerem contra o uso indevido.

Esses incluem:

• Sair do TeamViewer quando o software não estiver em uso;

• Usar os recursos da lista de bloqueios e permissões do software para restringir o acesso a indivíduos e dispositivos específicos;

• Restringir o acesso a determinados recursos para conexões de entrada;

• E negando conexões de fora da rede corporativa.

A empresa também destacou o suporte do TeamViewer para políticas de acesso condicional que permitem aos administradores impor direitos de acesso remoto.

Em comunicado à Dark Reading, o TeamViewer disse que a maioria dos casos de acesso não autorizado envolve um enfraquecimento das configurações de segurança padrão do TeamViewer.

“Isso geralmente inclui o uso de senhas fáceis de adivinhar, o que só é possível usando uma versão desatualizada do nosso produto”, afirmou o comunicado. “Enfatizamos constantemente a importância de manter práticas de segurança fortes, como o uso de senhas complexas, autenticação de dois fatores, listas de permissões e atualizações regulares para as versões de software mais recentes”. A declaração incluía um link para as melhores práticas para acesso não supervisionado seguro do suporte TeamViewer.

Para saber mais, clique aqui.