Το τελευταίο διάστημα είχε κυκλοφορήσει η φήμη ότι η πλατφόρμα Microsoft Teams είχε εμπλακεί σε ransomware επιθέσεις. Ωστόσο, η Microsoft έκανε μια δήλωση με την οποία απορρίπτει αυτές τις φήμες και ισχυρίζεται ότι η πλατφόρμα της δεν έχει χρησιμοποιηθεί ποτέ από κυβερνοεγκληματίες για την πραγματοποίηση ransomware επιθέσεων σε συστήματα εταιρειών.
Δεν γνωρίζουμε ακριβώς πώς προέκυψε αυτή η φήμη και ποιος την ξεκίνησε. Ωστόσο, ήρθε στο προσκήνιο στις αρχές του μήνα, όταν αρκετές εταιρείες σε όλη την Ισπανία μολύνθηκαν με το ransomware DoppelPaymer.
“Η Microsoft διερευνά τις πρόσφατες επιθέσεις από κακόβουλους hackers που χρησιμοποίησαν το ransomware Dopplepaymer”, δήλωσε ο Simon Pope, στέλεχος στο Microsoft Security Response Center (MSRC).
Ο Pope δήλωσε ότι οι πληροφορίες που κυκλοφορούν και αναφέρουν ότι η πλατφόρμα Microsoft Teams χρησιμοποιείται για την εξάπλωση του κακόβουλου λογισμικού, είναι παραπλανητικές.
“Οι ερευνητικές ομάδες μας εξέτασαν τις επιθέσεις και δεν βρήκαν στοιχεία που να υποστηρίζουν αυτούς τους ισχυρισμούς”, είπε ακόμα. “Στις έρευνές μας διαπιστώσαμε ότι το κακόβουλο λογισμικό βασίζεται σε κλεμμένα credentials για την εξάπλωση στα εταιρικά δίκτυα».
Πέρα από τις φήμες για την εμπλοκή της πλατφόρμας Microsoft Teams σε ransomware επιθέσεις, ο Pope μίλησε και για κάποιες άλλες φήμες που κυκλοφορούν κυρίως στα social media.
Σύμφωνα με αυτές τις φήμες, οι κυβερνοεγκληματίες χρησιμοποιούν την BlueKeep RDP ευπάθεια για την εγκατάσταση του ransomware DoppelPaymer. Αυτές οι φήμες, επίσης, σχετίζονται με τις επιθέσεις στην Ισπανία.
Είναι η πρώτη φορά που η Microsoft μπαίνει στη διαδικασία να απαντήσει και να κάνει επίσημες δηλώσεις διάψευσης των ειδήσεων που κυκλοφορούν στο διαδίκτυο.
Οι ειδήσεις για το Microsoft Teams κυκλοφόρησαν σε πολλά sites, ωστόσο εύκολα θα μπορούσαν να διαψευστούν και από τον ίδιο κόσμο αλλά και από ειδικούς ασφαλείας, που γνωρίζουν κάποια πράγματα για τις επιθέσεις.
Αρχικά, το ransomware DoppelPaymer είναι μια έκδοση του ransomware BitPaymer. Οι ειδικοί γνωρίζουν ότι το συγκεκριμένο κακόβουλο λογισμικό έχει διανεμηθεί αποκλειστικά μέσω του Dridex botnet ή των Emotet botnets.
Οι ερευνητές της Microsoft είπαν ότι τα botnets αυτά χρησιμοποιούνται, συνήθως, από ransomware συμμορίες για την απόκτηση πρόσβασης στα εσωτερικά δίκτυα εταιρειών. Όπως εξήγησε ο Pope, οι hackers κλέβουν τα credentials των υπαλλήλων, εισέρχονται στο εσωτερικό δίκτυο της εταιρείας και εξαπλώνονται σε άλλα συστήματα. Στο τέλος, εγκαθιστούν το DoppelPaymer.
Επιπλέον, στις επιθέσεις που εκμεταλλεύτηκαν την ευπάθεια BlueKeep, ο τελικός στόχος ήταν η εγκατάσταση ενός cryptominer.
Σύμφωνα με τη Microsoft, δεν έχει υπάρξει κάποια δημόσια τεκμηριωμένη περίπτωση, όπου η BlueKeep χρησιμοποιήθηκε για την εγκατάσταση ransomware.
Όπως έχουν δηλώσει, πρόσφατα, κάποιοι ερευνητές, οι περισσότερες RDP επιθέσεις σήμερα είναι RDP brute-force επιθέσεις και δεν βασίζονται στην εκμετάλλευση της BlueKeep.
