- Bir fidye yazılımının TeamViewer’ı kullandığı ilk olarak Mart 2016’da çok sayıda maÄŸdurun formlarında, cihazlarının TeamViewer kullanılarak ihlal edildiÄŸini ve dosyalarının Surprise fidye yazılımı ile ÅŸifrelendiÄŸini doÄŸruladığı zaman rapor edilmiÅŸti.
- Huntress tarafından yayımlanan yeni bir rapor, siber suçluların bu eski teknikleri terk etmediklerini ve hâlâ TeamViewer aracılığıyla cihazları ele geçirerek fidye yazılımı dağıtmaya çalıştıklarını gösteriyor.
- TeamViewer konuyla ilgili, “Kullanıcılarımızı güvenli iÅŸlemleri sürdürmesini daha fazla desteklemek için (Güvenli katılımsız eriÅŸim için en iyi uygulamalar – TeamViewer Destek) adresinden güvenli katılımsız eriÅŸim saÄŸlayabilecekleri bir dizi uygulama yayımladık. Tüm kullanıcılarımızı güvenliklerini iyileÅŸtirmek için bu yönergeleri izlemeye ÅŸiddetle teÅŸvik ediyoruz.” dedi.
Fidye yazılımı aktörleri, kuruluÅŸ uç noktalarına ilk eriÅŸimi elde etmek ve sızdırılan LockBit fidye yazılımı oluÅŸturucusuna dayalı ÅŸifreleyicileri dağıtmaya çalışmak için yine TeamViewer’ı kullanıyor. TeamViewer, kurumsal dünyada yaygın olarak kullanılan, basitliÄŸi ve özellikleriyle ilgi gören bir uzaktan eriÅŸim aracı. Ne yazık ki bu araç aynı zamanda dolandırıcılar ve fidye yazılımı aktörleri tarafından da el üstünde tutuluyor. Fidye yazılım aktörleri, uzak masaüstlerine eriÅŸim saÄŸlamak, kötü amaçlı dosyaları engelsiz hale getirmek ve çalıştırmak için kullanılıyor.
Benzer bir vaka ilk olarak Mart 2016’da çok sayıda maÄŸdurun formlarında, cihazlarının TeamViewer kullanılarak ihlal edildiÄŸini ve dosyalarının Surprise fidye yazılımı ile ÅŸifrelendiÄŸini doÄŸruladığı zaman rapor edilmiÅŸti. O dönemde TeamViewer’ın yetkisiz eriÅŸimle ilgili açıklaması kimlik bilgisi doldurma ÅŸeklindeydi. Buna göre saldırganlar yazılımdaki bir sıfırıncı gün açığından faydalanmamış, bunun yerine kullanıcıların sızdırılmış kimlik bilgilerini kullanmışlardı. TeamViewe yazılım satıcısı o zamanlar durumu, “TeamViewer yaygın bir yazılım olduÄŸundan dolayı birçok çevrimiçi suçlu, aynı kimlik bilgilerine sahip ilgili bir TeamViewer hesabı olup olmadığını öğrenmek için güvenliÄŸi ihlal edilmiÅŸ hesapların verileriyle oturum açmaya çalışır. EÄŸer durum buysa çevrimiçi suçlular, kötü amaçlı yazılım veya fidye yazılımı yüklemek için atanmış tüm cihazlara eriÅŸebilir.” ÅŸeklinde açıkladı.
TeamViewer yine hedef alındı
Huntress tarafından yayımlanan yeni bir rapor, siber suçluların bu eski teknikleri terk etmediklerini ve hâlâ TeamViewer aracılığıyla cihazları ele geçirerek fidye yazılımı dağıtmaya çalıştıklarını gösteriyor. Analiz edilen günlük dosyaları (connections_incoming.txt), her iki durumda da aynı kaynaktan gelen bağlantıları göstererek ortak bir saldırgana işaret ediyor. Huntress, ele geçirilen ilk uç noktada, günlüklerde çalışanlar tarafından birden fazla erişim olduğunu gördü. Bu yazılımın personel tarafından meşru idari görevler için aktif olarak kullanıldığı anlamına geliyordu.
Huntress tarafından görülen ve 2018’den beri çalışmakta olan ikinci uç noktada ise son üç aydır günlüklerde herhangi bir etkinlik görülmedi. Bu da yazılımın daha az izlendiÄŸini ve muhtemelen saldırganlar için daha cazip hale geldiÄŸini gösteriyordu. Her iki durumda da saldırganlar fidye yazılımı yükünü bir DOS toplu iÅŸ dosyası kullanarak dağıtmayaı denemiÅŸti. Saldırganlar fidye yazılımı masaüstüne yerleÅŸtirilmiÅŸ ve bir rundll32.exe komutu aracılığıyla bir DLL dosyasını çalıştırmıştı. Huntress tarafından saÄŸlanan IOC’lere dayanarak TeamViewer üzerinden yapılan saldırıların parola korumalı LockBit 3 DLL kullandığı görülüyor.

Kaynak: BleepingComputer
Konuyla ilgili yapılan araÅŸtırmalar, Huntress tarafından görülen spesifik fidye yazılım örneÄŸini bulamamış olsa da geçen hafta VirusTotal’a yüklenen farklı bir örnek buldu. Bu örnek, LockBit Black olarak tespit edildi ancak standart LockBit 3.0 fidye yazılımı notunu kullanmıyor. Tespit edilen LockBit Black, yazılıma sızan oluÅŸturucu kullanarak baÅŸka bir fidye yazılımı çetesi tarafından oluÅŸturuldu.

Kaynak: BleepingComputer

Kaynak: BleepingComputer
Tehdit aktörlerinin TeamViewer örneklerinin kontrolünü nasıl ele geçirdiÄŸi belirsiz olsa da ÅŸirket konuyla ilgili ÅŸu açıklamayı yaptı: “TeamViewer olarak platformumuzun güvenliÄŸini ve bütünlüğünü son derece ciddiye alıyor ve yazılımımızın her türlü kötü niyetli kullanımını kesin bir dille kınıyoruz. Analizlerimiz, yetkisiz eriÅŸim vakalarının çoÄŸunun TeamViewer’ın varsayılan güvenlik ayarlarının zayıflatılmasını içerdiÄŸini göstermektedir. Bu genellikle, yalnızca ürünümüzün eski bir sürümünü kullanarak mümkün olan kolayca tahmin edilebilen ÅŸifrelerin kullanımını içerir. Karmaşık parolalar, iki faktörlü kimlik doÄŸrulama, izin listeleri ve en son yazılım sürümlerine düzenli güncellemeler gibi güçlü güvenlik uygulamalarını sürdürmenin önemini sürekli olarak vurguluyoruz. Bu adımlar yetkisiz eriÅŸime karşı korunmada kritik öneme sahiptir. Kullanıcılarımızı güvenli iÅŸlemleri sürdürmede daha fazla desteklemek için (Güvenli katılımsız eriÅŸim için en iyi uygulamalar – TeamViewer Destek) adresinden güvenli katılımsız eriÅŸim saÄŸlayabilecekleri bir dizi uygulama yayımladık. Tüm kullanıcılarımızı güvenlik duruÅŸlarını geliÅŸtirmek için bu yönergeleri izlemeye ÅŸiddetle teÅŸvik ediyoruz.”
Derleyen: Fatma Ebrar Tuncel