Ana Sayfaİşletim SistemleriTeamViewer, Yeni Fidye Yazılımı Saldırıları için Kullanıldı

TeamViewer, Yeni Fidye Yazılımı Saldırıları için Kullanıldı

Yayımlandı:

- Bu Alana Reklam Vermek İçin: bilgi@dijitaliyidir.comspot_img
  • Bir fidye yazılımının TeamViewer’ı kullandığı ilk olarak Mart 2016’da çok sayıda mağdurun formlarında, cihazlarının TeamViewer kullanılarak ihlal edildiğini ve dosyalarının Surprise fidye yazılımı ile şifrelendiğini doğruladığı zaman rapor edilmişti.
  • Huntress tarafından yayımlanan yeni bir rapor, siber suçluların bu eski teknikleri terk etmediklerini ve hâlâ TeamViewer aracılığıyla cihazları ele geçirerek fidye yazılımı dağıtmaya çalıştıklarını gösteriyor.
  • TeamViewer konuyla ilgili, “Kullanıcılarımızı güvenli işlemleri sürdürmesini daha fazla desteklemek için (Güvenli katılımsız erişim için en iyi uygulamalar – TeamViewer Destek) adresinden güvenli katılımsız erişim sağlayabilecekleri bir dizi uygulama yayımladık. Tüm kullanıcılarımızı güvenliklerini iyileştirmek için bu yönergeleri izlemeye şiddetle teşvik ediyoruz.” dedi.

Fidye yazılımı aktörleri, kuruluş uç noktalarına ilk erişimi elde etmek ve sızdırılan LockBit fidye yazılımı oluşturucusuna dayalı şifreleyicileri dağıtmaya çalışmak için yine TeamViewer’ı kullanıyor. TeamViewer, kurumsal dünyada yaygın olarak kullanılan, basitliği ve özellikleriyle ilgi gören bir uzaktan erişim aracı. Ne yazık ki bu araç aynı zamanda dolandırıcılar ve fidye yazılımı aktörleri tarafından da el üstünde tutuluyor. Fidye yazılım aktörleri, uzak masaüstlerine erişim sağlamak, kötü amaçlı dosyaları engelsiz hale getirmek ve çalıştırmak için kullanılıyor.

Benzer bir vaka ilk olarak Mart 2016’da çok sayıda mağdurun formlarında, cihazlarının TeamViewer kullanılarak ihlal edildiğini ve dosyalarının Surprise fidye yazılımı ile şifrelendiğini doğruladığı zaman rapor edilmişti. O dönemde TeamViewer’ın yetkisiz erişimle ilgili açıklaması kimlik bilgisi doldurma şeklindeydi. Buna göre saldırganlar yazılımdaki bir sıfırıncı gün açığından faydalanmamış, bunun yerine kullanıcıların sızdırılmış kimlik bilgilerini kullanmışlardı. TeamViewe yazılım satıcısı o zamanlar durumu, “TeamViewer yaygın bir yazılım olduğundan dolayı birçok çevrimiçi suçlu, aynı kimlik bilgilerine sahip ilgili bir TeamViewer hesabı olup olmadığını öğrenmek için güvenliği ihlal edilmiş hesapların verileriyle oturum açmaya çalışır. Eğer durum buysa çevrimiçi suçlular, kötü amaçlı yazılım veya fidye yazılımı yüklemek için atanmış tüm cihazlara erişebilir.” şeklinde açıkladı.

TeamViewer yine hedef alındı

Huntress tarafından yayımlanan yeni bir rapor, siber suçluların bu eski teknikleri terk etmediklerini ve hâlâ TeamViewer aracılığıyla cihazları ele geçirerek fidye yazılımı dağıtmaya çalıştıklarını gösteriyor. Analiz edilen günlük dosyaları (connections_incoming.txt), her iki durumda da aynı kaynaktan gelen bağlantıları göstererek ortak bir saldırgana işaret ediyor. Huntress, ele geçirilen ilk uç noktada, günlüklerde çalışanlar tarafından birden fazla erişim olduğunu gördü. Bu yazılımın personel tarafından meşru idari görevler için aktif olarak kullanıldığı anlamına geliyordu.

Huntress tarafından görülen ve 2018’den beri çalışmakta olan ikinci uç noktada ise son üç aydır günlüklerde herhangi bir etkinlik görülmedi. Bu da yazılımın daha az izlendiğini ve muhtemelen saldırganlar için daha cazip hale geldiğini gösteriyordu. Her iki durumda da saldırganlar fidye yazılımı yükünü bir DOS toplu iş dosyası kullanarak dağıtmayaı denemişti. Saldırganlar fidye yazılımı masaüstüne yerleştirilmiş ve bir rundll32.exe komutu aracılığıyla bir DLL dosyasını çalıştırmıştı. Huntress tarafından sağlanan IOC’lere dayanarak TeamViewer üzerinden yapılan saldırıların parola korumalı LockBit 3 DLL kullandığı görülüyor.

Fidye yazılımı şifreleyicisini çalıştırmak için kullanılan PP.bat dosyası
Kaynak: BleepingComputer

Konuyla ilgili yapılan araştırmalar, Huntress tarafından görülen spesifik fidye yazılım örneğini bulamamış olsa da geçen hafta VirusTotal’a yüklenen farklı bir örnek buldu. Bu örnek, LockBit Black olarak tespit edildi ancak standart LockBit 3.0 fidye yazılımı notunu kullanmıyor. Tespit edilen LockBit Black, yazılıma sızan oluşturucu kullanarak başka bir fidye yazılımı çetesi tarafından oluşturuldu.

LockBit 3.0 yapısı sızdırıldı
Kaynak: BleepingComputer
Sızan LockBit 3.0 oluşturucusundan özel fidye notu
Kaynak: BleepingComputer

Tehdit aktörlerinin TeamViewer örneklerinin kontrolünü nasıl ele geçirdiği belirsiz olsa da şirket konuyla ilgili şu açıklamayı yaptı: “TeamViewer olarak platformumuzun güvenliğini ve bütünlüğünü son derece ciddiye alıyor ve yazılımımızın her türlü kötü niyetli kullanımını kesin bir dille kınıyoruz. Analizlerimiz, yetkisiz erişim vakalarının çoğunun TeamViewer’ın varsayılan güvenlik ayarlarının zayıflatılmasını içerdiğini göstermektedir. Bu genellikle, yalnızca ürünümüzün eski bir sürümünü kullanarak mümkün olan kolayca tahmin edilebilen şifrelerin kullanımını içerir. Karmaşık parolalar, iki faktörlü kimlik doğrulama, izin listeleri ve en son yazılım sürümlerine düzenli güncellemeler gibi güçlü güvenlik uygulamalarını sürdürmenin önemini sürekli olarak vurguluyoruz. Bu adımlar yetkisiz erişime karşı korunmada kritik öneme sahiptir. Kullanıcılarımızı güvenli işlemleri sürdürmede daha fazla desteklemek için (Güvenli katılımsız erişim için en iyi uygulamalar – TeamViewer Destek) adresinden güvenli katılımsız erişim sağlayabilecekleri bir dizi uygulama yayımladık. Tüm kullanıcılarımızı güvenlik duruşlarını geliştirmek için bu yönergeleri izlemeye şiddetle teşvik ediyoruz.”

Derleyen: Fatma Ebrar Tuncel

Günde sadece 1 TL'ye abone olarak tüm içeriklerimize sınırsız erişebilir ve bağımsız haberciliğe destek olabilirsiniz! Hemen Abone Ol

Son Eklenenler

Matematik Dehasından “Vibe Coding” Dersi: Tao, 27 Yıllık Kodlarını Yapay Zekâyla Diriltti

Fields Madalyalı Terence Tao, 1999'da yazdığı 24 uygulamayı yapay zekâyla birkaç saatte diriltti — ajan, orijinal koddaki iki hatayı da buldu. Tao'nun notu dersin özeti: "Görsel araca evet, kritik işe hayır."

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.

Grok Kodlama Aracı Hakkında Çarpıcı Analiz: “Gizlilik Anahtarı Kapalıyken Bile Depoyu Buluta Yüklüyor”

Bağımsız ağ analizi: Grok Build CLI, her oturumda 12 GB'lık depodan 5,1 GB veriyi buluta yüklüyor — model trafiği yalnızca 192 KB. Tuzak API anahtarı trafikte aynen görüldü, gizlilik anahtarı işe yaramıyor.

Buna benzer diğer içerikler

Matematik Dehasından “Vibe Coding” Dersi: Tao, 27 Yıllık Kodlarını Yapay Zekâyla Diriltti

Fields Madalyalı Terence Tao, 1999'da yazdığı 24 uygulamayı yapay zekâyla birkaç saatte diriltti — ajan, orijinal koddaki iki hatayı da buldu. Tao'nun notu dersin özeti: "Görsel araca evet, kritik işe hayır."

Nolan’dan Tartışma Yaratan Çıkış: “Gençler Yapay Zekâyı Reddediyor” — Peki Öyle mi?

Odysseia'nın vizyonuna günler kala Nolan'dan tartışma yaratan tespit: "Gençler yapay zekâyı reddediyor." Peki gerçekten reddediş mi, yoksa seçici bir ilişki mi? Kültür endüstrisinin yeni fay hattı.

Neler Oluyor? – 14 Temmuz

Düzenleyiciler yapay zekâyı "sistemik" ilan etti, Grok kodlama aracının depoları buluta yüklediği ortaya çıktı, Xi Jinping ilk kez yapay zekâ kürsüsüne çıkıyor ve Nolan'dan tartışmalı çıkış. İşte bugün neler oluyor.