🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

TeamViewer đang bị lạm dụng trong các cuộc tấn công ransomware mới

19/01/2024

Các tác nhân đe dọa đang sử dụng TeamViewer để giành quyền truy cập ban đầu vào các thiết bị và cố gắng mã hóa dữ liệu trên các thiết bị bị xâm phạm bằng phần mềm ransomware.

TeamViewer là một công cụ truy cập từ xa hợp pháp được sử dụng rộng rãi. Thật không may, công cụ này đã bị những kẻ lừa đảo và nhóm ransomware lạm dụng nó để truy cập vào máy tính để bàn từ xa, tải và thực thi các tệp độc hại mà không bị cản trở.

Một trường hợp tương tự được báo cáo lần đầu tiên vào tháng 3 năm 2016, khi nhiều nạn nhân xác nhận với BleepingComputer rằng thiết bị của họ đã bị xâm phạm bằng cách sử dụng TeamViewer để lây nhiễm phần mềm ransomware Surprise.

Vào thời điểm đó, giải thích cho việc truy cập trái phép, TeamViewer cho biết những kẻ tấn công không khai thác lỗ hổng zero-day trong phần mềm mà chúng sử dụng thông tin xác thực bị rò rỉ của người dùng.

TeamViewer bị nhắm mục tiêu

Báo cáo mới từ Huntress cho thấy tội phạm mạng vẫn chưa từ bỏ kỹ thuật cũ này mà vẫn chiếm quyền điều khiển các thiết bị thông qua TeamViewer để thử và triển khai ransomware.

Trong cả hai trường hợp được ghi nhận, các tệp nhật ký (log) được phân tích cho thấy các kết nối đến từ cùng một nguồn, điều này chỉ ra khả năng do cùng một kẻ tấn công.

Kẻ tấn công đã cố gắng triển khai phần mềm ransomware bằng cách sử dụng tệp DOS batch (PP.bat), tệp này kích hoạt tệp DLL độc hại (payload) thông qua lệnh rundll32.exe.

Cuộc tấn công vào thiết bị đầu tiên đã thành công nhưng đã được kiểm soát. Trường hợp thứ hai, sản phẩm chống vi-rút đã nỗ lực ngăn chặn khiến payload không được thực thi.

Mặc dù không thể xác định chắc chắn nhóm ransomware nào đã thực hiện các cuộc tấn công, nhưng Huntress lưu ý rằng nó tương tự với các công cụ mã hóa của LockBit.

Mặc dù không rõ bằng cách nào các tác nhân đe dọa hiện đang kiểm soát các phiên bản TeamViewer, công ty chia sẻ rằng:

"Phân tích của chúng tôi cho thấy rằng hầu hết các trường hợp truy cập trái phép đều liên quan đến việc làm suy yếu cài đặt bảo mật mặc định của TeamViewer. Điều này thường bao gồm việc sử dụng mật khẩu dễ đoán do sử dụng phiên bản sản phẩm đã lỗi thời. Chúng tôi liên tục nhấn mạnh tầm quan trọng của việc duy trì các biện pháp bảo mật mạnh mẽ, như sử dụng mật khẩu phức tạp, xác thực hai yếu tố, danh sách cho phép và cập nhật thường xuyên lên các phiên bản phần mềm mới nhất. Các bước này rất quan trọng trong việc bảo vệ chống truy cập trái phép.

Để hỗ trợ thêm cho người dùng trong việc duy trì hoạt động an toàn, chúng tôi đã phát hành một nhóm các biện pháp tốt nhất để truy cập an toàn mà không cần giám sát. Chúng tôi đặc biệt khuyến khích tất cả người dùng tuân theo các nguyên tắc này để nâng cao trạng thái bảo mật của họ."

Nguồn: bleepingcomputer.com.

scrolltop