Где хакеры берут учётные данные для проникновения и возможно ли предотвратить компрометацию?
В недавнем отчёте компании Huntress Для просмотра ссылки Войдиили Зарегистрируйся , что киберпреступники снова используют TeamViewer , легитимный инструмент удалённого доступа, для первоначального проникновения на корпоративные устройства и попыток развёртывания шифровальщиков.
Впервые массовое использование TeamViewer злоумышленниками наблюдалось в марте 2016 года при развёртывании программы-вымогателя Surprise. Тогда же представители TeamViewer заверили общественность, что несанкционированный доступ стал возможен благодаря утечкам учётных данных пользователей, а не уязвимости в самой программе для удалённого доступа.
«Поскольку TeamViewer является широко распространённым программным обеспечением, многие онлайн-преступники пытаются войти в целевую систему, используя данные скомпрометированных учётных записей, чтобы выяснить, существует ли учётная запись TeamViewer с такими же учётными данными», — объяснил тогда поставщик программного обеспечения.
Возвращаясь к текущей вредоносной кампании, можно с уверенностью сказать, что TeamViewer снова в ходу у киберпреступников. В рассмотренной Huntress цепочке атаки злоумышленники проникли в целевую систему с помощью TeamViewer и пытались развернуть вредоносную полезную нагрузку с помощью батника «PP.bat», который запускал вредоносный DLL -файл через команду rundll32.exe.
Хотя рассмотренная специалистами атака и не увенчалась успехом, так как была отражена антивирусным ПО, оставленных злоумышленниками «хлебных крошек» стало достаточно для проведения расследования.
В Huntress не смогли точно установить, к какой известной вымогательской группе относились эти атаки, однако отметила сходство с шифровальщиками LockBit, созданными с использованием Для просмотра ссылки Войдиили Зарегистрируйся конструктора LockBit Black.
Хотя неясно, каким именно образом хакеры смогли получить контроль над экземплярами TeamViewer на этот раз, представители компании напомнили, что для защиты от подобных атак принципиально важно соблюдать основные принципы кибербезопасности: использовать сложные пароли, двухфакторную аутентификацию, белые списки и не забывать про регулярное обновление используемого ПО.
Только так можно предотвратить несанкционированный доступ и обезопасить сети своей компании от компрометации.
В недавнем отчёте компании Huntress Для просмотра ссылки Войди
Впервые массовое использование TeamViewer злоумышленниками наблюдалось в марте 2016 года при развёртывании программы-вымогателя Surprise. Тогда же представители TeamViewer заверили общественность, что несанкционированный доступ стал возможен благодаря утечкам учётных данных пользователей, а не уязвимости в самой программе для удалённого доступа.
«Поскольку TeamViewer является широко распространённым программным обеспечением, многие онлайн-преступники пытаются войти в целевую систему, используя данные скомпрометированных учётных записей, чтобы выяснить, существует ли учётная запись TeamViewer с такими же учётными данными», — объяснил тогда поставщик программного обеспечения.
Возвращаясь к текущей вредоносной кампании, можно с уверенностью сказать, что TeamViewer снова в ходу у киберпреступников. В рассмотренной Huntress цепочке атаки злоумышленники проникли в целевую систему с помощью TeamViewer и пытались развернуть вредоносную полезную нагрузку с помощью батника «PP.bat», который запускал вредоносный DLL -файл через команду rundll32.exe.
Хотя рассмотренная специалистами атака и не увенчалась успехом, так как была отражена антивирусным ПО, оставленных злоумышленниками «хлебных крошек» стало достаточно для проведения расследования.
В Huntress не смогли точно установить, к какой известной вымогательской группе относились эти атаки, однако отметила сходство с шифровальщиками LockBit, созданными с использованием Для просмотра ссылки Войди
Хотя неясно, каким именно образом хакеры смогли получить контроль над экземплярами TeamViewer на этот раз, представители компании напомнили, что для защиты от подобных атак принципиально важно соблюдать основные принципы кибербезопасности: использовать сложные пароли, двухфакторную аутентификацию, белые списки и не забывать про регулярное обновление используемого ПО.
Только так можно предотвратить несанкционированный доступ и обезопасить сети своей компании от компрометации.
- Источник новости
- www.securitylab.ru