TeamViewer is ongewild de spil geworden in ransomware-aanvallen. Via de remote IT-beheertool banen hackers zich een weg naar bedrijfsapparaten.
Huntress legt in een blog uit hoe aanvallers misbruik kunnen maken van twee endpoints om via TeamViewer binnen te breken in een apparaat en ransomware te installeren. Het is nog onduidelijk op welke schaal deze methode wordt ingezet en hoeveel organisaties ten prooi zouden zijn gevallen. De experten van Huntress ziet gelijkenissen met eerdere LockBit-hacks, zonder met beschuldigende vinger naar een of geen groepering te wijzen.
Dat TeamViewer een populair target is voor hackers, hoeft niet te verwonderen. De software wordt veel gebruikt in bedrijfs-IT om apparaten vanop afstand te kunnen beheren. TeamViewer heeft dan ook een aura van betrouwbaarheid waardoor de alarmbellen niet afgaan wanneer de software toegang heeft tot je apparaat. Als aanvallers een TeamViewer-account weten te kraken, hebben ze dus vrij spel.
De geschiedenis herhaalt zich
Het is dan ook niet de eerste keer dat TeamViewer ongewild de rol van vector opneemt in cyberaanvallen. In 2016 was er al eens een grootschalige campagne waarbij bedrijven via de beheertool aangevallen werden. TeamViewer gaf toen aan dat er geen kwetsbaarheid in zijn software, wat betekent dat de aanvallers logingegevens van gebruikers wisten te bekomen.
In een reactie aan BleepingComputer benadrukt TeamViewer dat dat ook nu het geval moet zijn. TeamViewer raadt alle gebruikers aan om sterke wachtwoorden aan te maken, tweefactorauthenticatie in te stellen en updates uit te voeren. Met deze simpele maatregelen, die we niet genoeg kunnen herhalen, maak je toegang tot je account(s) een stuk moeilijker. Het toont aan dat het beveiligen van applicaties en accounts minstens even belangrijk is voor een goede beveiligingshygiëne dan het beschermen van fysieke en virtuele endpoints.