Vários grupos de ransomware começaram novamente a usar ferramentas de acesos remoto aos sistemas como forma de infetarem máquinas dentro das entidades, com o objetivo de ativarem o código do ransomware nos mesmos.
Mais concretamente, recentemente foi descoberto que a aplicação do TeamViewer encontra-se a ser usada como porta de entrada para estes ataques. Depois de obtido o acesso, os criminosos usam sistemas de encriptação que são baseados no ransomware do LockBit.
O TeamViewer é uma aplicação legitima de acesso remoto, bastante usada sobretudo em meios empresariais, como forma de permitir o acesso a diferentes sistemas de fontes externas. No entanto, a ferramenta tem vindo a ser cada vez mais usada também para variados esquemas e ataques, que tentam obter acesso aos sistemas onde o software se encontra, para instalar malware e realizar outras atividades maliciosas.
Na realidade, em 2016, o TeamViewer já tinha sido usado para infetar sistemas de potenciais vítimas, que alegavam que os seus sistemas tinham sido comprometidos depois de serem feitos acessos não autorizados aos mesmos usando a ferramenta.
A TeamViewer sublinhou na altura que o acesso estaria a ser feito por acesso às contas dos utilizadores, usando dados de login comprometidos e não devido a uma falha zero-day na mesma.
No entanto, mesmo nos dias atuais, ainda existem grupos de ransomware que se encontram a usar o TeamViewer como meio de instalar ransomware em sistemas comprometidos, usando contas que tiveram os seus dados de login comprometidos e onde a aplicação estaria instalada.
O foco dos atacantes encontra-se em sistemas empresariais, que são depois usados para se obter acesso a outros sistemas dentro da mesma rede, levando a ainda mais avultados prejuízos para as entidades, com múltiplos sistemas comprometidos.
Nenhum comentário
Seja o primeiro!