Престъпниците използват TeamViewer, за да разпространяват рансъмуер Surprise

престъпниците

Размерът на необходимия откуп зависи от степента на важност на данните и може да варира от 0,5 до 25 биткойна.

Интернет потребителите са атакувани от нов ransomware, наречен Surprise. След като влезе в системата, зловредният софтуер започва да криптира файловете, съдържащи се на компютъра. Разширението .surprise се добавя към криптирани документи. Като цяло функционалността на рансъмуера не се различава от възможностите на другите представители на този тип софтуер. Въпреки това методът на разпространението му е много интересен. За тази цел нападателите използват TeamViewer, инструмент за достъп до отдалечен работен плот.

За първи път рансъмуерът стана известен от съобщение на потребител на форум Bleeping Computer. Както показа по-нататъшното обсъждане на темата, всички жертви на зловреден софтуер са имали инсталиран TeamViewer версия 10.0.47484. Имайте предвид, че размерът на необходимия откуп зависи от степента на важност на данните и може да варира от 0,5 до 25 биткойна. Условията за плащане се обсъждат индивидуално.

Според експерта по PrivacyPC Дейвид Балабан, който анализира дневниците на трафика на TeamViewer, нападателите дистанционно са стартирали процеса изненада.exe на компютрите на жертвите. Според Балабан престъпниците биха могли да използват идентификационните данни, откраднати в резултат на хакване на компютърни системи TeamViewer. От самата компания обаче отрекоха възможността за неразрешено влизане.

Според Лорънс Ейбрамс, собственик на уебсайта Bleeping Computer, зловреден софтуер Surprise е модифицирана версия на рансъмуера с отворен код EDA2, разработен от турския изследовател Утку Сен. Обърнете внимание, че на базата на този софтуер са създадени няколко рекета. Използва се и сред нападателитеДругата разработка на Sen, рансъмуер Hidden Tear, също е популярна. На базата му вече работят 24 криптографи.

Коментар от TeamViewer:

През последните дни имаше съобщения за инфекции с ransomware във връзка с използването на софтуера TeamViewer. Категорично осъждаме всяка престъпна дейност, но бихме искали да подчертаем два аспекта:

1. Досега нито една от инфекциите не е била свързана с уязвимост в софтуера TeamViewer.

2. Има редица мерки, които помагат за предотвратяване на потенциални нарушения.

Ние внимателно проучихме случаите, които ни станаха известни, и стигнахме до заключението, че основните проблеми със сигурността не могат да бъдат свързани със софтуера TeamViewer. Досега нямаме доказателства, че нападателите се възползват от потенциални уязвимости в TeamViewer. Освен това атаката "човек по средата" всъщност може да бъде елиминирана, тъй като TeamViewer използва криптиране от край до край. Също така нямаме причина да вярваме, че атака с груба сила на криптоанализ е причината за споменатите инфекции. Факт е, че TeamViewer експоненциално увеличава забавянето между опитите за свързване, така че само 24 опита биха отнели цели 17 часа. Времето на забавяне се нулира само след въвеждане на правилната парола. TeamViewer предоставя механизъм, който защитава клиентите от атаки не само от един конкретен компютър, но и от множество компютри (така наречените „ботнет атаки“), опитващи се да получат достъп до конкретен TeamViewer-ID.

Освен това бихме искали да заявим, че нито един от тези случаи не е показателен за дефекти в архитектурата или механизмите за сигурност на софтуера TeamViewer.

Причината за всички проучени от нас случаи на инфекция се крие,на първо място, в небрежното използване на софтуер. Това включва по-специално използването на едни и същи пароли за различни потребителски акаунти на системи от различни доставчици.