Les auteurs de ransomwares utilisent à nouveau TeamViewer pour obtenir un accès initial aux terminaux des organisations et tenter de déployer des cryptomonnaies basées sur la fuite du constructeur de ransomwares LockBit.
Un cas similaire a été signalé pour la première fois en mars 2016, lorsque de nombreuses victimes ont confirmé sur les forums de BleepingComputer que leurs appareils avaient été cybersécurisés en utilisant TeamViewer pour chiffrer les fichiers avec le ransomware Surprise.
« Comme TeamViewer est un logiciel largement répandu, de nombreux criminels en ligne tentent de se connecter avec les données des comptes compromis, afin de découvrir s’il existe un compte TeamViewer correspondant avec les mêmes informations d’identification », expliquait à l’époque l’éditeur du logiciel.
Un nouveau rapport de Huntress montre que les cybercriminels n’ont pas abandonné ces vieilles techniques et qu’ils prennent encore le contrôle d’appareils via TeamViewer pour tenter de déployer des ransomwares.
Bien que Huntress n’ait pas été en mesure d’attribuer avec certitude les attaques à des gangs de ransomware connus, il note qu’elles sont similaires aux chiffreurs LockBit créés à l’aide d’un constructeur LockBit Black qui a fait l’objet d’une fuite.
Cet échantillon est détecté comme LockBit Black mais n’utilise pas la note standard du ransomware LockBit 3.0, ce qui indique qu’il a été créé par un autre gang de ransomwares à l’aide de l’outil de construction qui a fait l’objet d’une fuite.