TeamViewer, Yeni Fidye Yazılımı Saldırıları için Kullanıldı

• Bir fidye yazılımının TeamViewer’ı kullandığı ilk olarak Mart 2016’da çok sayıda mağdurun formlarında, cihazlarının TeamViewer kullanılarak ihlal edildiğini ve dosyalarının Surprise fidye yazılımı ile şifrelendiğini doğruladığı zaman rapor edilmişti.
• Huntress tarafından yayımlanan yeni bir rapor, siber suçluların bu eski teknikleri terk etmediklerini ve hâlâ TeamViewer aracılığıyla cihazları ele geçirerek fidye yazılımı dağıtmaya çalıştıklarını gösteriyor.
• TeamViewer konuyla ilgili, “Kullanıcılarımızı güvenli işlemleri sürdürmesini daha fazla desteklemek için (Güvenli katılımsız erişim için en iyi uygulamalar – TeamViewer Destek) adresinden güvenli katılımsız erişim sağlayabilecekleri bir dizi uygulama yayımladık. Tüm kullanıcılarımızı güvenliklerini iyileştirmek için bu yönergeleri izlemeye şiddetle teşvik ediyoruz.” dedi.

Fidye yazılımı aktörleri, kuruluş uç noktalarına ilk erişimi elde etmek ve sızdırılan LockBit fidye yazılımı oluşturucusuna dayalı şifreleyicileri dağıtmaya çalışmak için yine TeamViewer’ı kullanıyor. TeamViewer, kurumsal dünyada yaygın olarak kullanılan, basitliği ve özellikleriyle ilgi gören bir uzaktan erişim aracı. Ne yazık ki bu araç aynı zamanda dolandırıcılar ve fidye yazılımı aktörleri tarafından da el üstünde tutuluyor. Fidye yazılım aktörleri, uzak masaüstlerine erişim sağlamak, kötü amaçlı dosyaları engelsiz hale getirmek ve çalıştırmak için kullanılıyor.

Benzer bir vaka ilk olarak Mart 2016’da çok sayıda mağdurun formlarında, cihazlarının TeamViewer kullanılarak ihlal edildiğini ve dosyalarının Surprise fidye yazılımı ile şifrelendiğini doğruladığı zaman rapor edilmişti. O dönemde TeamViewer’ın yetkisiz erişimle ilgili açıklaması kimlik bilgisi doldurma şeklindeydi. Buna göre saldırganlar yazılımdaki bir sıfırıncı gün açığından faydalanmamış, bunun yerine kullanıcıların sızdırılmış kimlik bilgilerini kullanmışlardı. TeamViewe yazılım satıcısı o zamanlar durumu, “TeamViewer yaygın bir yazılım olduğundan dolayı birçok çevrimiçi suçlu, aynı kimlik bilgilerine sahip ilgili bir TeamViewer hesabı olup olmadığını öğrenmek için güvenliği ihlal edilmiş hesapların verileriyle oturum açmaya çalışır. Eğer durum buysa çevrimiçi suçlular, kötü amaçlı yazılım veya fidye yazılımı yüklemek için atanmış tüm cihazlara erişebilir.” şeklinde açıkladı.

TeamViewer yine hedef alındı

Huntress tarafından yayımlanan yeni bir rapor, siber suçluların bu eski teknikleri terk etmediklerini ve hâlâ TeamViewer aracılığıyla cihazları ele geçirerek fidye yazılımı dağıtmaya çalıştıklarını gösteriyor. Analiz edilen günlük dosyaları (connections_incoming.txt), her iki durumda da aynı kaynaktan gelen bağlantıları göstererek ortak bir saldırgana işaret ediyor. Huntress, ele geçirilen ilk uç noktada, günlüklerde çalışanlar tarafından birden fazla erişim olduğunu gördü. Bu yazılımın personel tarafından meşru idari görevler için aktif olarak kullanıldığı anlamına geliyordu.

Huntress tarafından görülen ve 2018’den beri çalışmakta olan ikinci uç noktada ise son üç aydır günlüklerde herhangi bir etkinlik görülmedi. Bu da yazılımın daha az izlendiğini ve muhtemelen saldırganlar için daha cazip hale geldiğini gösteriyordu. Her iki durumda da saldırganlar fidye yazılımı yükünü bir DOS toplu iş dosyası kullanarak dağıtmayaı denemişti. Saldırganlar fidye yazılımı masaüstüne yerleştirilmiş ve bir rundll32.exe komutu aracılığıyla bir DLL dosyasını çalıştırmıştı. Huntress tarafından sağlanan IOC’lere dayanarak TeamViewer üzerinden yapılan saldırıların parola korumalı LockBit 3 DLL kullandığı görülüyor.

Konuyla ilgili yapılan araştırmalar, Huntress tarafından görülen spesifik fidye yazılım örneğini bulamamış olsa da geçen hafta VirusTotal’a yüklenen farklı bir örnek buldu. Bu örnek, LockBit Black olarak tespit edildi ancak standart LockBit 3.0 fidye yazılımı notunu kullanmıyor. Tespit edilen LockBit Black, yazılıma sızan oluşturucu kullanarak başka bir fidye yazılımı çetesi tarafından oluşturuldu.

Tehdit aktörlerinin TeamViewer örneklerinin kontrolünü nasıl ele geçirdiği belirsiz olsa da şirket konuyla ilgili şu açıklamayı yaptı: “TeamViewer olarak platformumuzun güvenliğini ve bütünlüğünü son derece ciddiye alıyor ve yazılımımızın her türlü kötü niyetli kullanımını kesin bir dille kınıyoruz. Analizlerimiz, yetkisiz erişim vakalarının çoğunun TeamViewer’ın varsayılan güvenlik ayarlarının zayıflatılmasını içerdiğini göstermektedir. Bu genellikle, yalnızca ürünümüzün eski bir sürümünü kullanarak mümkün olan kolayca tahmin edilebilen şifrelerin kullanımını içerir. Karmaşık parolalar, iki faktörlü kimlik doğrulama, izin listeleri ve en son yazılım sürümlerine düzenli güncellemeler gibi güçlü güvenlik uygulamalarını sürdürmenin önemini sürekli olarak vurguluyoruz. Bu adımlar yetkisiz erişime karşı korunmada kritik öneme sahiptir. Kullanıcılarımızı güvenli işlemleri sürdürmede daha fazla desteklemek için (Güvenli katılımsız erişim için en iyi uygulamalar – TeamViewer Destek) adresinden güvenli katılımsız erişim sağlayabilecekleri bir dizi uygulama yayımladık. Tüm kullanıcılarımızı güvenlik duruşlarını geliştirmek için bu yönergeleri izlemeye şiddetle teşvik ediyoruz.”

Derleyen: Fatma Ebrar Tuncel