Ransomware-Angreifer nutzen wiederholt TeamViewer, um in Unternehmensnetzwerke einzudringen und Verschlüsselungssoftware zu installieren, die auf dem geleakten LockBit-Ransomware-Builder basiert.
TeamViewer, ein legitimes Fernzugriffstool, das im Unternehmensbereich weit verbreitet ist, wird aufgrund seiner Einfachheit und Funktionalität geschätzt. Leider wird das Tool auch von Betrügern und Ransomware-Akteuren genutzt, um Zugang zu Remote-Desktops zu erhalten und ungehindert schädliche Dateien abzulegen und auszuführen.
Ein erster Fall wurde bereits im März 2016 gemeldet, als in den Foren von BleepingComputer zahlreiche Opfer bestätigten, dass ihre Geräte mittels TeamViewer gehackt und Dateien mit der Surprise-Ransomware verschlüsselt wurden. TeamViewer erklärte damals, dass die unbefugten Zugriffe durch Credential Stuffing erfolgten, was bedeutet, dass die Angreifer keine Zero-Day-Schwachstelle in der Software ausnutzten, sondern stattdessen die geleakten Anmeldeinformationen der Benutzer verwendeten.
In einem neuen Bericht von Huntress zeigt sich, dass Cyberkriminelle diese alten Techniken noch immer anwenden, indem sie Geräte über TeamViewer übernehmen, um Ransomware zu versuchen zu installieren. In beiden von Huntress untersuchten Fällen versuchten die Angreifer, die Ransomware mittels einer DOS-Batch-Datei (PP.bat) zu installieren, die eine DLL-Datei (Payload) über einen rundll32.exe-Befehl ausführte.
Der Angriff auf den ersten Endpoint war erfolgreich, konnte jedoch eingedämmt werden. Beim zweiten Endpoint wurde der Versuch durch ein Antivirus-Produkt gestoppt, was zu wiederholten erfolglosen Versuchen der Payload-Ausführung führte.
Obwohl Huntress die Angriffe nicht eindeutig einer bekannten Ransomware-Gruppe zuordnen konnte, weisen sie darauf hin, dass sie Ähnlichkeiten mit LockBit-Verschlüsselungsprogrammen aufweisen, die mit einem geleakten LockBit Black Builder erstellt wurden.
Der geleakte Builder ermöglicht die Erstellung verschiedener Versionen des Verschlüsselungsprogramms, einschließlich einer ausführbaren Datei, einer DLL und einer verschlüsselten DLL, die ein Passwort zur korrekten Ausführung benötigt. Basierend auf den von Huntress bereitgestellten IOCs scheinen die Angriffe über TeamViewer die passwortgeschützte LockBit 3 DLL zu verwenden.
Diese Entwicklungen unterstreichen die Notwendigkeit für Unternehmen, ihre Netzwerke und Geräte gegen solche Angriffe zu schützen, insbesondere durch die Überwachung und Einschränkung des Fernzugriffs und die Implementierung effektiver Sicherheitsmaßnahmen.