Хакеры-вымогатели, применяющие программное обеспечение известной группировки LockBit, активизировали использование TeamViewer для получения удалённого доступа к целевым системам в своих атаках. Киберпреступники умело используют образцы вымогательского ПО, созданные на базе ранее утекшего билда LockBit.
Эксперты по информационной безопасности указывают на то, что метод распространения шифровальщиков и иного вредоносного софта под прикрытием легитимного ПО TeamViewer является распространённой практикой. В частности, подобные атаки уже фиксировались в 2015-2016 годах, когда хакеры активно распространяли вредоносное ПО Surprice, выдавая его за “премиум-версии” TeamViewer.
Аналитики компании Huntress заявляют, что аналогичную схему теперь реализуют и многие другие хакерские группировки. В рамках таких киберпресутпных операций были обнаружены две скомпрометированные конечные точки, а анализ лога connections_incoming.txt выявил определённые сходства между этими атаками.
В одном из случаев сотрудники целевой организации активно использовали TeamViewer для системного администрирования, что было отражено в логах. В другом же случае эксперты не обнаружили никакой активности в логах за последние 90 дней.
Обнаруженные атаки объединяет общий вектор: хакеры стремились развернуть вымогательское программное обеспечение, используя файл pp.bat, размещённый на рабочем столе скомпрометированной машины. Этот файл запускал библиотеку, которая была пейлоадом, через rundll32.exe.
Специалисты по информационной безопасности из компании Huntress пока не могут установить связь этих кибератак с какой-либо известной хакерской группой. Однако они отмечают, что образцы вымогательского ПО, вероятнее всего, были созданы с использованием билдера LockBit. При этом отмечается, что операторы шифровальщика используют защищённую паролем DLL LockBit 3.
Оригинал публикации на сайте CISOCLUB: "Хакеры-вымогатели начали атаковать компании через TeamViewer".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
