TeamViewer, uno de los más importantes software de control remoto y soporte técnico, fue víctima de un ciberataque. En un comunicado de prensa publicado el 28 de junio de 2024, la empresa alemana, que cuenta con más de 600.000 suscriptores de pago en todo el mundo y cuenta con más de 2.500 millones de instalaciones, indica que ha identificado una intrusión informática.
Lea también: 5,9 millones de datos de franceses están a la venta en Amazon de los ciberdelincuentes
Una cuenta comprometida
Según la firma, el operativo comenzó dos días antes, el 26 de junio. Ese día, los piratas lograron “copiar datos del directorio de empleados”. Este directorio incluye “nombres de los empleados, información de contacto de la empresa y contraseñas cifradas para el entorno de TI interno de la empresa”. Por lo tanto, se trata de información bastante sensible. Utilizando esta información y software dedicado, un pirata informático puede descifrar contraseñas y penetrar los sistemas de la empresa.
Para lograr sus fines, los piratas informáticos utilizaronuna cuenta que pertenece a un empleado de TeamViewer que ha sido comprometida. Este suele ser el punto de partida de la mayoría de los ciberataques dirigidos a empresas. De una forma u otra, los piratas informáticos logran robar las credenciales de un empleado, ya sea mediante malware u otra violación de datos. En realidad, esto es lo que sucedió cuando LastPass fue pirateado hace dos años. En esta etapa de las investigaciones, TeamViewer no ha revelado cómo se vio comprometida la cuenta responsable de la intrusión.
Daño limitado
Afortunadamente, TeamViewer divide las diferentes partes de su red. La firma explica de hecho que ha implementado “una fuerte separación entre la TI empresarial, el entorno de producción y la plataforma de conectividad TeamViewer”. De facto, el entorno interno de TI es “completamente independiente” del entorno del producto. Por lo tanto, los piratas informáticos no pudieron acceder al producto de software ni al entorno del cliente desde el entorno interno. El ataque se limitó a parte de la infraestructura del grupo.
Además, la empresa alemana tomó rápidamente medidas enérgicas para mitigar “el riesgo asociado con las contraseñas cifradas contenidas en el directorio” con la ayuda de Microsoft. TeamViewer indica que tiene “Procedimientos de autenticación reforzados” mientras agrega “otras capas fuertes de protección”. Estas medidas deberían impedir que los piratas informáticos exploten los datos robados para orquestar nuevas intrusiones.
Otra toma de Midnight Blizzard
Según TeamViewer, el ciberataque fue instigado por APT29, una pandilla también conocida con los apodos de Midnight Blizzard, Cozy Bear o Nobelium. Se sabe que la banda colabora con los servicios de inteligencia de Rusia. También son responsables de una gran cantidad de operaciones de espionaje. En el pasado, APT29 atacó a HPE (Hewlett Packard Enterprise), a diplomáticos franceses y a la empresa SolarWinds. Este año incluso lograron penetrar la infraestructura de Microsoft. Los ciberdelincuentes pudieron espiar los correos electrónicos intercambiados por funcionarios de la empresa antes de ser expulsados.
Tenga en cuenta que esta no es la primera vez que TeamViewer se encuentra en el punto de mira de los piratas informáticos. El software de acceso remoto, muy popular en todo el mundo, permite tomar el control de una computadora, lo que facilita la implementación de malware. En enero pasado, el software también se utilizó para instalar ransomware en máquinas. Un año antes, TeamViewer se vio involucrado en una campaña destinada a implementar virus capaces de extraer criptomonedas sin el conocimiento de los usuarios. En 2021, un ciberdelincuente incluso confió en TeamViewer para irrumpir en el sistema de una planta de agua de Florida. Una vez en el sistema, pudo contaminar el agua, lo que obligó a las autoridades a desinstalar TeamViewer de todas las organizaciones gubernamentales de la zona.
Para no perderte ninguna novedad de 01net, síguenos en Google News y WhatsApp.
Fuente :
Visor de equipos
