TeamViewer использовался для взлома сетей в ходе новых атак программ-вымогателей
Злоумышленники-вымогатели снова используют TeamViewer для получения первоначального доступа к конечным точкам организации и пытаются развернуть шифровальщики на основе утекшего в сеть сборщика программ-вымогателей LockBit.
TeamViewer — это законный инструмент удаленного доступа, широко используемый в корпоративном мире и ценимый за свою простоту и возможности.
К сожалению, этот инструмент также пользуется популярностью у мошенников и даже участников программ-вымогателей, которые используют его для получения доступа к удаленным рабочим столам, беспрепятственно сбрасывая и запуская вредоносные файлы.
TeamViewer снова стал мишенью
Новый отчет Huntress показывает, что киберпреступники не отказались от этих старых методов и по-прежнему захватывают устройства через TeamViewer, чтобы попытаться установить программы-вымогатели.
Проанализированные файлы журналов (connections_incoming.txt) в обоих случаях показали соединения из одного и того же источника, что указывает на общего злоумышленника.
В первой скомпрометированной конечной точке Huntress увидела в журналах множественный доступ сотрудников, что указывает на то, что сотрудники активно использовали программное обеспечение для законных административных задач.
Во второй конечной точке, которую увидела Huntress и которая работает с 2018 года, в журналах не было активности в течение последних трех месяцев, что указывает на то, что она отслеживается реже, что, возможно, делает ее более привлекательной для злоумышленников.
В обоих случаях злоумышленники попытались развернуть полезную нагрузку программы-вымогателя, используя пакетный файл DOS (PP.bat), размещенный на рабочем столе, который запускал файл DLL (полезную нагрузку) с помощью команды rundll32.exe.
Судя по IOC, предоставленным Huntress, для атак через TeamViewer используется защищенная паролем библиотека LockBit 3 DLL.
Новая уязвимость ScreenConnect RCE, использованная в атаках программ-вымогателей
Компания Sophos опубликовала сегодня отчет, в котором говорится, что обнаруженные ими полезные нагрузки программ-вымогателей были созданы с использованием компоновщика программ-вымогателей LockBit, слитого в сеть разработчиком вредоносного ПО в конце сентября 2022 года.
В ходе атак Sophos обнаружила следующие образцы: вариант buhtiRansom LockBit, размещенный в 30 различных клиентских сетях, и вторая полезная нагрузка, созданная с использованием утекшего в сеть сборщика Lockbit (и размещенная другим злоумышленником).
«22 февраля 2024 года компания Sophos X-Ops сообщила через нашу учетную запись в социальных сетях, что, несмотря на недавние действия правоохранительных органов против группы лиц, угрожающих LockBit, за предыдущие 24 часа мы наблюдали несколько атак, которые, по-видимому, были осуществлены с помощью программы-вымогателя LockBit. создан с использованием просочившегося инструмента для создания вредоносных программ», — пояснил Sophos.
«Похоже, что наше обнаружение на основе сигнатур правильно идентифицировало полезные нагрузки как программы-вымогатели, созданные просочившимся сборщиком LockBit, но в примечаниях о выкупе, сброшенных этими полезными нагрузками, одна из них идентифицировалась как «buhtiRansom», а в записке о выкупе у другой не было имени. "
Как установленный корпоративный антивирус помогает злоумышленникам распространить сэмплы шифровальщика по хостам в сети.
Для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусным программным обеспечением, установленным в ИТ-инфраструктуре компании. Для удаленного запуска программы-вымогателя атакующие создали инсталляционный пакет (рис. 15) и соответствующую задачу. Надо отметить, что продвинутые атакующие при получении доступа к панели управления данного антивирусного продукта все чаще предпочитают использовать его для скрытного и эффективного продвижения по сети, нежели чем такие более “шумные” техники, как например, PsExec, SMBExec, WMIExec или создание групповой политики Active Directory (GPO).
Обзор преступных групп вымогателей, атаковавших Россию в 2023-2024 году
Комментарии
Злоумышленники-вымогатели снова используют TeamViewer для получения первоначального доступа к конечным точкам организации и пытаются развернуть шифровальщики на основе утекшего в сеть сборщика программ-вымогателей LockBit.
TeamViewer — это законный инструмент удаленного доступа, широко используемый в корпоративном мире и ценимый за свою простоту и возможности.
К сожалению, этот инструмент также пользуется популярностью у мошенников и даже участников программ-вымогателей, которые используют его для получения доступа к удаленным рабочим столам, беспрепятственно сбрасывая и запуская вредоносные файлы.
TeamViewer снова стал мишенью
Новый отчет Huntress показывает, что киберпреступники не отказались от этих старых методов и по-прежнему захватывают устройства через TeamViewer, чтобы попытаться установить программы-вымогатели.
Проанализированные файлы журналов (connections_incoming.txt) в обоих случаях показали соединения из одного и того же источника, что указывает на общего злоумышленника.
В первой скомпрометированной конечной точке Huntress увидела в журналах множественный доступ сотрудников, что указывает на то, что сотрудники активно использовали программное обеспечение для законных административных задач.
Во второй конечной точке, которую увидела Huntress и которая работает с 2018 года, в журналах не было активности в течение последних трех месяцев, что указывает на то, что она отслеживается реже, что, возможно, делает ее более привлекательной для злоумышленников.
В обоих случаях злоумышленники попытались развернуть полезную нагрузку программы-вымогателя, используя пакетный файл DOS (PP.bat), размещенный на рабочем столе, который запускал файл DLL (полезную нагрузку) с помощью команды rundll32.exe.
Судя по IOC, предоставленным Huntress, для атак через TeamViewer используется защищенная паролем библиотека LockBit 3 DLL.
https://www.bleepingcomputer.com/news/security/teamviewer-abused-to-breach-networks-in-new-ransomware-attacks/
Компания Sophos опубликовала сегодня отчет, в котором говорится, что обнаруженные ими полезные нагрузки программ-вымогателей были созданы с использованием компоновщика программ-вымогателей LockBit, слитого в сеть разработчиком вредоносного ПО в конце сентября 2022 года.
В ходе атак Sophos обнаружила следующие образцы: вариант buhtiRansom LockBit, размещенный в 30 различных клиентских сетях, и вторая полезная нагрузка, созданная с использованием утекшего в сеть сборщика Lockbit (и размещенная другим злоумышленником).
«22 февраля 2024 года компания Sophos X-Ops сообщила через нашу учетную запись в социальных сетях, что, несмотря на недавние действия правоохранительных органов против группы лиц, угрожающих LockBit, за предыдущие 24 часа мы наблюдали несколько атак, которые, по-видимому, были осуществлены с помощью программы-вымогателя LockBit. создан с использованием просочившегося инструмента для создания вредоносных программ», — пояснил Sophos.
«Похоже, что наше обнаружение на основе сигнатур правильно идентифицировало полезные нагрузки как программы-вымогатели, созданные просочившимся сборщиком LockBit, но в примечаниях о выкупе, сброшенных этими полезными нагрузками, одна из них идентифицировалась как «buhtiRansom», а в записке о выкупе у другой не было имени. "
Название было соответствующим образом изменено.
https://www.bleepingcomputer.com/news/security/new-screenconnect-rce-flaw-exploited-in-ransomware-attacks/
Обзор преступных групп вымогателей, атаковавших Россию в 2023-2024 году
https://www.facct.ru/blog/ransomware-2023-2024/