Pelaku ransomware kembali menggunakan TeamViewer untuk mendapatkan akses awal ke titik akhir organisasi dan mencoba menerapkan enkriptor berdasarkan pembuat ransomware LockBit yang bocor.

TeamViewer adalah alat akses jarak jauh yang sah yang digunakan secara luas di dunia perusahaan, dihargai karena kesederhanaan dan kemampuannya.

Sayangnya, alat ini juga dihargai oleh scammers dan bahkan aktor ransomware, yang menggunakannya untuk mendapatkan akses ke desktop jarak jauh, menjatuhkan dan mengeksekusi file berbahaya tanpa hambatan.

Kasus serupa pertama kali dilaporkan pada Maret 2016, ketika banyak korban mengkonfirmasi di forum BleepingComputer bahwa perangkat mereka dilanggar menggunakan TeamViewer untuk mengenkripsi file dengan ransomware Surprise.

Pada saat itu, penjelasan TeamViewer untuk akses yang tidak sah adalah credential stuffing, yang berarti penyerang tidak mengeksploitasi kerentanan zero-day dalam perangkat lunak tetapi menggunakan kredensial pengguna yang bocor.

"Karena TeamViewer adalah perangkat lunak yang tersebar luas, banyak penjahat online mencoba masuk dengan data akun yang disusupi, untuk mengetahui apakah ada akun TeamViewer yang sesuai dengan kredensial yang sama," jelas vendor perangkat lunak pada saat itu.

"Jika ini masalahnya, kemungkinan mereka dapat mengakses semua perangkat yang ditugaskan, untuk menginstal malware atau

TeamViewer ditargetkan lagi

Sebuah laporan baru dari Huntress menunjukkan bahwa penjahat dunia maya belum meninggalkan teknik lama ini, masih mengambil alih perangkat melalui TeamViewer untuk mencoba dan menyebarkan ransomware.

File log yang dianalisis (connections_incoming.txt) menunjukkan koneksi dari sumber yang sama dalam kedua kasus, menunjukkan penyerang umum.

Di titik akhir pertama yang disusupi, Huntress melihat di log beberapa akses oleh karyawan, menunjukkan perangkat lunak secara aktif digunakan oleh staf untuk tugas administratif yang sah.

Di titik akhir kedua yang dilihat oleh Huntress, yang telah berjalan sejak 2018, tidak ada aktivitas di log selama tiga bulan terakhir, menunjukkan bahwa itu lebih jarang dipantau, mungkin membuatnya lebih menarik bagi para penyerang.

Sumber : https://www.bleepingcomputer.com/news/security/teamviewer-abused-to-breach-networks-in-new-ransomware-attacks/