TeamViewer adalah perangkat lunak pendukung dan akses jarak jauh yang memungkinkan pengguna mengakses dan mengontrol perangkat mereka sendiri, sehingga memungkinkan akses dan dukungan desktop jarak jauh. Mendukung koneksi lintas platform, termasuk PC ke PC, seluler ke PC, dan PC ke seluler, dan kompatibel dengan berbagai sistem operasi seperti Windows, Mac OS, Linux, Chrome OS, iOS, dan Android. Fitur-fiturnya meliputi akses jarak jauh, transfer file, dan berbagi layar, sehingga cocok untuk pekerjaan jarak jauh, dukungan teknis, dan kolaborasi. Namun, penting untuk diingat bahwa TeamViewer tidak dirancang untuk memantau karyawan atau menyediakan pemantauan diam-diam, dan pengguna akan diberi tahu saat sambungan jarak jauh dibuat. Perangkat lunak ini bekerja dengan membuat koneksi melalui server pihak ketiga, memungkinkan pengguna untuk terhubung ke perangkat jarak jauh melalui ID unik yang diberikan oleh server[4]. Meskipun TeamViewer adalah alat yang berharga untuk akses dan dukungan jarak jauh yang sah, ada laporan kasus penyalahgunaannya oleh penjahat dunia maya, yang menyebabkan beberapa organisasi menerapkan kebijakan untuk menghapus dan memblokirnya dari sistem mereka karena masalah keamanan.
Pelaku Ransomware sekali lagi menggunakan TeamViewer sebagai sarana untuk mendapatkan akses awal ke titik akhir organisasi, dengan tujuan menerapkan enkripsi berdasarkan pembuat ransomware LockBit yang bocor. TeamViewer, alat akses jarak jauh sah yang banyak digunakan di dunia perusahaan, dihargai karena kesederhanaan dan kemampuannya. Namun, ini juga menjadi alat favorit di kalangan penipu dan pelaku ransomware, yang mengeksploitasinya untuk mendapatkan akses ke desktop jarak jauh dan mengeksekusi file berbahaya tanpa hambatan.
Metode memanfaatkan TeamViewer untuk akses tidak sah dan aktivitas jahat selanjutnya bukanlah fenomena baru. Kasus serupa pertama kali dilaporkan pada bulan Maret 2016, ketika korban mengungkapkan di forum BleepingComputer bahwa perangkat mereka telah disusupi menggunakan TeamViewer untuk mengenkripsi file dengan ransomware Surprise. Selama periode tersebut, TeamViewer mengaitkan akses tidak sah tersebut dengan pengisian kredensial, mengklarifikasi bahwa penyerang tidak mengeksploitasi kerentanan zero-day apa pun dalam perangkat lunak melainkan memanfaatkan kredensial pengguna yang bocor.
TeamViewer, yang digunakan secara luas, menjadi target utama penjahat online yang mencoba masuk dengan data akun yang disusupi. Tujuannya adalah untuk menentukan apakah ada akun TeamViewer yang sesuai dengan kredensial yang sama. Jika berhasil, penyerang berpotensi mendapatkan akses ke semua perangkat yang ditugaskan, memungkinkan mereka memasang malware atau ransomware. Vendor perangkat lunak tersebut menjelaskan pada saat itu bahwa meluasnya penggunaan TeamViewer menjadikannya target yang menguntungkan untuk aktivitas jahat semacam itu.
TeamViewer kembali menjadi sasaran.
Menurut laporan terbaru dari Huntress, penjahat dunia maya terus mengeksploitasi metode tradisional, dengan terus mengambil alih perangkat melalui TeamViewer dengan tujuan menyebarkan ransomware. Pemeriksaan file log, khususnya koneksi_incoming.txt, mengungkapkan koneksi yang berasal dari sumber yang sama di kedua kasus, menunjukkan adanya penyerang umum.
Setelah menganalisis log titik akhir awal yang disusupi, Huntress mengidentifikasi beberapa akses oleh karyawan, yang menunjukkan bahwa perangkat lunak tersebut secara aktif digunakan oleh staf untuk tugas administratif yang sah. Sebaliknya, titik akhir kedua dalam pengamatan Huntress, yang beroperasi sejak tahun 2018, menunjukkan kurangnya aktivitas dalam pencatatan selama tiga bulan terakhir. Tidak adanya aktivitas baru-baru ini menunjukkan jarangnya pemantauan, sehingga berpotensi menjadikannya target yang lebih menarik bagi penyerang.
Dalam kedua skenario tersebut, penyerang berusaha menyebarkan muatan ransomware melalui file batch DOS (PP.bat) yang ditempatkan secara strategis di desktop. File batch ini, pada gilirannya, mengeksekusi file DLL (payload) melalui perintah rundll32.exe, mengungkapkan modus operandi konsisten yang digunakan oleh penjahat dunia maya di seluruh titik akhir yang disusupi.
Serangan awal pada titik akhir pertama berhasil melanggar langkah-langkah keamanan tetapi berhasil diatasi. Sebaliknya, titik akhir kedua menghadapi hasil yang berbeda, karena produk antivirus secara efektif menggagalkan serangan tersebut, memaksa penyerang untuk melakukan upaya berulang kali dalam mengeksekusi payload namun tidak berhasil.
Meskipun Huntress belum secara pasti mengaitkan serangan ini dengan geng ransomware mana pun, mereka menyoroti kemiripan yang mencolok dengan enkripsi LockBit yang dihasilkan melalui pembuat LockBit Black yang bocor. Pada tahun 2022, pembuat ransomware untuk LockBit 3.0 bocor, menyebabkan peluncuran kampanye yang cepat oleh geng Bl00dy dan Buhti yang memanfaatkan pembuat ini. Pembuat yang bocor menyediakan kemampuan untuk menghasilkan berbagai versi enkripsi, termasuk yang dapat dieksekusi, DLL, dan DLL terenkripsi yang memerlukan kata sandi untuk peluncuran yang tepat.
Analisis terhadap Indikator Kompromi (IOCs) yang diberikan oleh Huntress menunjukkan bahwa serangan yang dilakukan melalui TeamViewer tampaknya menggunakan DLL LockBit 3 yang dilindungi kata sandi. Meskipun sampel spesifik yang diidentifikasi oleh Huntress belum ditemukan, sampel alternatif yang terdeteksi sebagai LockBit Black muncul di VirusTotal minggu lalu. Menariknya, sampel ini, meskipun dikategorikan sebagai LockBit Black, menyimpang dari log ransomware LockBit 3.0 standar, yang menunjukkan bahwa sampel tersebut dibuat oleh geng ransomware lain yang memanfaatkan penulis yang bocor.
Apa saja tanda-tanda umum penyalahgunaan teamviewer
Beberapa tanda umum penyalahgunaan TeamViewer meliputi:
- Panggilan telepon atau email yang tidak diminta yang mengaku dari TeamViewer, meminta informasi pribadi atau akses ke perangkat Anda.
- Akses tidak sah ke perangkat atau jaringan Anda, yang dibuktikan dengan aktivitas yang tidak biasa atau perubahan pengaturan.
- Contoh malware atau ransomware yang diinstal pada perangkat Anda tanpa sepengetahuan atau persetujuan Anda.
- Transfer file yang tidak biasa atau akses tidak sah ke informasi sensitif.
- Menerima pesan bahwa perangkat Anda terinfeksi malware, meskipun sebenarnya tidak.
Untuk melindungi diri Anda dari penyalahgunaan TeamViewer, penting untuk menjaga langkah-langkah keamanan yang kuat, seperti menggunakan kata sandi yang rumit dan unik, selalu memperbarui perangkat lunak, dan berhati-hati terhadap panggilan telepon atau email yang tidak diminta. Selain itu, organisasi dapat menerapkan kebijakan untuk menghapusnya
Apa sajakah praktik terbaik untuk mengamankan teamviewer di jaringan
Beberapa praktik terbaik untuk mengamankan TeamViewer di jaringan meliputi:
- Nonaktifkan Kata Sandi Acak dan Kata Sandi Pribadi: Ini memastikan bahwa hanya orang yang berwenang yang dapat terhubung ke perangkat.
- Aktifkan Akses Mudah: Fitur ini memungkinkan Anda terhubung ke perangkat Anda tanpa kata sandi, selama Anda masuk ke akun TeamViewer Anda. Ini lebih aman daripada menggunakan kata sandi, karena memerlukan ID perangkat dan kata sandi.
- Blokir dan Daftar yang Diizinkan: Gunakan Daftar yang Diizinkan dan Daftar Blokir Anda untuk menentukan siapa dan apa yang dapat terhubung ke perangkat dengan TeamViewer. Daftar Blokir: Akun TeamViewer atau ID perangkat yang muncul di Daftar Blokir perangkat Anda diblokir agar tidak dapat membuat sambungan. Daftar yang Diizinkan: Akun TeamViewer atau ID perangkat yang muncul di Daftar yang Diizinkan perangkat Anda diizinkan untuk membuat koneksi.
- Selalu perbarui TeamViewer: Pastikan Anda menginstal TeamViewer versi terbaru, karena pembaruan sering kali mencakup peningkatan keamanan dan perbaikan bug.
- Gunakan kata sandi yang kuat: Kata sandi harus terdiri dari minimal 8 karakter, idealnya menggabungkan huruf besar dan kecil, angka, dan karakter khusus.
- Aktifkan Otentikasi Dua Faktor: Ini menambahkan lapisan keamanan ekstra ke akun TeamViewer Anda.
- Matikan TeamViewer setelah digunakan: Jangan jalankan sesi TeamViewer di latar belakang dan alihkan ke sesi tersebut bila diperlukan.
- Gunakan VPN: Jaringan pribadi virtual (VPN) mengenkripsi transmisi data, memberikan lapisan keamanan tambahan.
- Verifikasi dan perbarui daftar pengguna tepercaya: Tinjau daftar perangkat tepercaya Anda secara berkala dan hapus perangkat apa pun yang tidak Anda kenali atau yang seharusnya tidak memiliki akses ke mesin tertentu.
- Berhati-hatilah terhadap panggilan telepon atau email yang tidak diminta yang mengaku dari TeamViewer: Laporkan aktivitas mencurigakan apa pun kepada perusahaan.
Dengan mengikuti praktik terbaik ini, organisasi dapat mengurangi risiko penyalahgunaan TeamViewer dan potensi serangan ransomware.
Sumber:
https://www.bleepingcomputer.com/news/security/teamviewer-abused-to-breach-networks-in-new-ransomware-attacks/
https://www.teamviewer.com/en-us/unattended-access-security/
https://www.teamviewer.com/en-us/trust-center/security/
https://community.f-secure.com/en/discussion/126516/security-risk
https://community.teamviewer.com/English/kb/articles/108681-best-practices-for-secure-unattended-access
https://www.helpwire.app/blog/teamviewer-security-risk/
https://www.airdroid.com/remote-support/teamviewer-scams/
https://www.reddit.com/r/teamviewer/comments/4m6omd/teamviewer_breach_masterthread_please_post_your/?rdt=63214
https://community.teamviewer.com/English/kb/articles/4715-teamviewer-and-scamming
https://www.linkedin.com/posts/andyprosser_teamviewer-abused-to-breach-networks-in-new-activity-7153954406835605504-9xEM
https://e-crimebureau.com/teamviewer-abused-for-unauthorized-access-and-deploying-lockbit-ransomware/
https://www.reddit.com/r/teamviewer/comments/g2dkcf/what_exactly_can_teamviewer_do_will_i_be_able_to/?rdt=33180
https://blog.invgate.com/what-is-teamviewer
https://community.teamviewer.com/English/kb/articles/33184-what-is-teamviewer
https://superuser.com/questions/661749/how-exactly-does-a-remote-program-like-team-viewer-work