El jueves, TeamViewer anunció que el 26 de junio de 2024 había detectado una "irregularidad" en su entorno de TI corporativo interno. "Activamos de inmediato nuestro equipo de respuesta y procedimientos, iniciamos investigaciones con un equipo de expertos en ciberseguridad de renombre mundial e implementamos las medidas de remediación necesarias", afirmó la compañía en un comunicado.
La empresa también destacó que su entorno de TI corporativo está completamente aislado del entorno del producto, y no hay evidencia que sugiera que los datos de los clientes se hayan visto afectados por el incidente.
TeamViewer, con sede en Alemania, es un fabricante de software de administración y monitoreo remoto (RMM) que permite a los proveedores de servicios administrados (MSP) y departamentos de TI gestionar servidores, estaciones de trabajo, dispositivos de red y puntos finales. Este software es utilizado por más de 600,000 clientes en todo el mundo.
De manera interesante, el Centro de Análisis e Intercambio de Información Sanitaria de EE. UU. (Health-ISAC) ha emitido un boletín sobre la explotación activa de TeamViewer por parte de actores de amenazas, según la Asociación Estadounidense de Hospitales (AHA).
"Se ha observado que los actores de amenazas aprovechan herramientas de acceso remoto", indicó la organización sin fines de lucro. "Se ha reportado que TeamViewer está siendo explotado por actores de amenazas asociados con APT29".
Actualmente, no está claro si los atacantes están abusando de vulnerabilidades en TeamViewer para comprometer las redes de los clientes, utilizando prácticas de seguridad deficientes para infiltrarse en los objetivos e implementar el software, o si han llevado a cabo un ataque directamente a los sistemas de TeamViewer.
APT29, también conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard y The Dukes, es un actor de amenazas patrocinado por el estado y afiliado al Servicio de Inteligencia Exterior de Rusia (SVR). Recientemente, se ha vinculado a APT29 con infracciones en Microsoft y Hewlett Packard Enterprise (HPE). Microsoft ha revelado que APT29 también accedió a las bandejas de entrada de correo electrónico de algunos clientes tras un ataque que salió a la luz a principios de este año.
"Esta semana continuamos enviando notificaciones a los clientes que se comunicaron con cuentas de correo electrónico corporativas de Microsoft que fueron exfiltradas por el actor de amenazas Midnight Blizzard", informó el gigante tecnológico a la agencia de noticias.
Te podrá interesar leer: Nuevo Ataque de Ransomware: Abuso de TeamViewer
Hoy, TeamViewer actualizó la información sobre el ataque cibernético, atribuyéndolo oficialmente al grupo APT29. El objetivo del ataque fueron las credenciales asociadas con una cuenta de empleado dentro de su entorno de TI corporativo.
"Basándonos en el monitoreo de seguridad continuo, nuestros equipos identificaron comportamientos sospechosos en esta cuenta e inmediatamente implementaron medidas de respuesta a incidentes", señaló TeamViewer en una alerta revisada. "No hay evidencia de que el actor de la amenaza haya obtenido acceso a nuestro entorno de productos o a los datos de nuestros clientes".
Te podrá interesar leer: Grupo de Hackers APT29 Escala Ataques a Entidades Mundiales
La reciente brecha de seguridad en TeamViewer subraya la importancia de estar siempre vigilante y preparado en el ámbito de ciberseguridad. Este incidente es un recordatorio crucial de la importancia de las prácticas de seguridad robustas y la vigilancia continua. Los usuarios de TeamViewer y otras herramientas de acceso remoto deben mantenerse informados, adoptar medidas de seguridad adicionales como la autenticación de dos factores y asegurarse de utilizar siempre las versiones más actualizadas del software. La ciberseguridad es una responsabilidad compartida, y estar preparados es esencial para mitigar los riesgos en un panorama digital cada vez más complejo y peligroso.