TeamViewer Kullanarak LockBit Fidye Yazılımı Saldırısı

Huntress güvenlik araştırmacıları, son zamanlarda LockBit fidye yazılımını dağıtmak için TeamViewer’ı istismar eden siber saldırılarda artış yaşandığı konusunda bir uyarı yayınladı.

TeamViewer, daha önce büyük ölçekli siber saldırılarda istismar edilme geçmişine sahiptir. Son zamanlarda, siber güvenlik uzmanları, siber suçluların TeamViewer’ı kullanarak LockBit fidye yazılımını dağıtmak için yeni bir stratejiyi vurgulayan şaşırtıcı bir saldırı artışı gözlemledi. Bu, kullanıcıları veri şifreleme ve fidye taleplerine maruz bırakma potansiyeli bulunan güvenilir bir uzaktan erişim aracının kötüye kullanılması anlamına gelir.

Araştırmacılar, saldırganların TeamViewer’daki zafiyetleri kullanarak kurban cihazlara ilk erişimi elde ettiklerini ve ardından kritik dosyaları şifreleyen ve büyük fidye ödemeleri talep eden saldırgan LockBit fidye yazılımını dağıttıklarını iddia ediyor.

Enfeksiyonlar ya kontrol altına alındı ya da önlenmiş olsa da, henüz hiçbir fidye yazılım operasyonu resmi olarak bu sızmalarla ilişkilendirilmemiştir. Ancak yük, LockBit fidye yazılımı şifreleyicilerini andırmaktadır. 2022’de LockBit 3.0 için fidye yazılımı oluşturucusu sızdırılmıştı, bu da Bl00dy ve Buhti çetelerinin kampanyalarını başlatmalarına izin verdi.

Bilgi olarak, TeamViewer kurumsal dünyada popüler bir uzaktan erişim aracıdır. Ne yazık ki, yıllardır dolandırıcılar ve fidye yazılım aktörleri tarafından uzak masaüstlerine erişim ve kötü amaçlı dosyaları yürütme amacıyla istismar edilmiştir. Mart 2016’da birçok kurban, cihazlarının TeamViewer aracılığıyla ihlal edildiğini ve Surprise fidye yazılımı ile dosyalarının şifrelenmeye çalışıldığını bildirdi.

O zamanlarda, TeamViewer ‘ın izinsiz erişimi, saldırganların kullanıcıların sızdırılmış kimlik bilgilerini kullanarak sıfır gün açığı yerine kullandığı kimlik bilgisi doldurma saldırılarına atfedildi.

Yazılım satıcısı, çevrimiçi suçluların genellikle sızdırılmış hesaplarla oturum açarak aynı kimlik bilgilerine sahip hesapları bulmaya çalıştıklarını ve bu sayede kötü amaçlı yazılım veya fidye yazılımı yükleme potansiyeli bulduklarını açıkladı.

Huntress SOC analistlerinin son analizi, siber suçluların eski teknikleri kullanmaya devam ettiğini ve TeamViewer ‘ı kötüye kullanarak cihazları ele geçirmeye ve fidye yazılımı dağıtmaya çalıştığını ortaya koyuyor. Huntress tarafından gözlemlenen bir örnekte, tek bir tehdit aktörü, TeamViewer ‘ı kullanarak iki ucu da etkileyerek masaüstüne bir DOS yığın dosyası yerleştirmiş ve bir DLL yüklemiş.

Her iki durumda da, Huntress araştırmacıları benzerlikler gözlemledi ve ortak bir saldırganın sorumlu olabileceğini düşündürdü. Huntress, ilk kompromi edilen ucu kullanan birçok çalışan erişimini gözlemledi ve bu, mevcut güvenlik önlemlerinin daha az izlendiği ve saldırganlar için daha çekici olabilecek ikinci ucun daha az izlendiğini gösteriyordu.

“Her iki ucuştaki başlangıç erişiminin de TeamViewer aracılığıyla elde edildiğini gösteren TeamViewer connections_incoming.txt günlük dosyasının son girişi,” diyor Huntress.

TeamViewer, izinsiz erişim olaylarını aracın varsayılan güvenlik ayarlarındaki sorunlara bağlamaktadır. Saldırıların, şifre korumalı LockBit 3 DLL’sini kullandığı görünüyor. Ancak Bleeping Computer, standart LockBit 3.0 fidye yazılımı notunu kullanmıyor olsa da VirusTotal’a yüklenen farklı bir örnek olarak LockBit Black olarak tespit edilen başka bir örnek bulmuştur, bu da başka bir fidye yazılım çetesinin olası bir rolüne işaret etmektedir.

Raporlar, saldırganların henüz geniş çaplı bir kampanya başlatmadığını, bu da genişleme potansiyeli olduğu anlamına gelmektedir. Kendinizi korumak için, TeamViewer yazılımını güncelleyin, iki faktörlü kimlik doğrulamayı etkinleştirin, şüpheli bağlantılardan kaçının ve potansiyel tehditleri tespit etmek ve önlemek için antivirus, anti-malware ve uç nokta tespit ve tepki (EDR) araçları gibi temel siber güvenlik çözümlerine yatırım yapın.

Son gelişmeler hakkında bilgi sahibi olmak için, TeamViewer’ın izinsiz erişim vakalarını Xage Security’nin CEO’su Geoffrey Mattson’a sorduk ve TeamViewer’ın istismarıyla ilgili olarak şu açıklamayı paylaştı:

“Bu saldırı, siber tehditlerde bir büyüme eğilimini vurguluyor, yani siber düşmanlar eski güvenlik ve sanallaştırma yazılımlarındaki zafiyetleri istismar ediyor ve tarayıcılar ve uç nokteler gibi geleneksel hedeflerden uzaklaşıyor. Özellikle, VPN‘ler, Güvenlik Duvarları, Sanal Masaüstü Altyapıları ve Uzaktan Erişim Araçları, çok aşamalı saldırılar için ana vektörler haline geldi, bu da Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) “Uzaktan İzleme ve Yönetim Yazılımının Kötüye Kullanımına Karşı Koruma” gibi yeni uyarılar yayınlamasına neden oldu.”

“Bu zafiyet, başka bir zorlukla birleşiyor – TeamViewer, çalışanların şirketlerindeki resmi seçenekten daha kolay erişim çözümleri arayan çalışanlar tarafından genellikle ‘gölge IT’ olarak yükleniyor,” dedi Geoffrey. “Bu, güvenlik ve IT ekiplerinin TeamViewer’ın ortamlarında varlığını bile bilmedikleri ve bu nedenle bu saldırı vektörüne maruz kalmadıklarını bile bilmeyecekleri anlamına gelir. Mevcut kurumsal uzaktan erişim çözümlerinin karmaşıklığı, çalışanları güvenlik riskleri yaratmaya yönlendirir. Kullanım kolaylığı bir güvenlik sorunudur,” diye uyardı.