Преступники используют TeamViewer для распространения вымогателя Surprise

image

Теги: вымогательское ПО, инструмент удаленного доступа, выкуп

Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 биткоинов.

Интернет-пользователей атакует новый вымогатель под названием Surprise. Оказавшись на системе, вредонос начинает шифрование содержащихся на компьютере файлов. К зашифрованным документам добавляется расширение .surprise. В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа. Однако весьма интересен способ его распространения. Для данной цели злоумышленники используют TeamViewer - инструмент удаленного доступа к рабочему столу.

Впервые о вымогательском ПО стало известно из сообщения пользователя форума Bleeping Computer. Как показало дальнейшее обсуждение темы, у всех жертв вредоноса был установлен TeamViewer версии 10.0.47484. Отметим, сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 биткоинов. Условия выплаты обсуждаются индивидуально.

По словам эксперта компании PrivacyPC Дэвида Балабана (David Balaban), проанализировавшего журналы трафикаTeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Как полагает Балабан, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer. Однако в самой компании опровергли вероятность несанкционированного проникновения.

Согласно словам владельца сайта Bleeping Computer Лоуренса Абрамса (Lawrence Abrams), вредонос Surprise представляет собой модифицированную версию вымогательского ПО с открытым исходным кодом EDA2, разработанного турецким исследователем Ютку Сеном (Utku Sen). Отметим, на базе данного ПО создано  несколько вымогателей. Также среди злоумышленников пользуется популярностью другая разработка Сена – вымогательское ПО Hidden Tear. На его базе работают уже 24 шифровальщика.

Комментарий компании TeamViewer:

В последние дни появились сообщения о случаях заражения программами-вымогателями в связи с использованием ПО TeamViewer. Мы строго осуждаем любую преступную деятельность, но хотели бы подчеркнуть два аспекта:

1. До настоящего момента ни один из случаев заражения не связан с уязвимостью в ПО TeamViewer.

2. Существует ряд мер, которые помогают предотвратить потенциальные нарушения.

Мы тщательно исследовали случаи, которые стали нам известны, и пришли к выводу, что стоящие за ними проблемы безопасности не могут быть связаны с ПО TeamViewer. До сих пор у нас нет доказательств того, что злоумышленники используют какие-либо потенциальные уязвимости в TeamViewer. Более того, атаку с применением технологии «человек посередине» фактически можно исключить, поскольку в TeamViewer используется сквозное шифрование. У нас также нет оснований полагать, что причиной упомянутых заражений стала атака с использованием переборного криптоанализа. Дело в том, что TeamViewer экспоненциально увеличивает задержку между попытками подключения, поэтому всего на 24 попытки ушло бы целых 17 часов. Время задержки обнуляется только после ввода правильного пароля. В TeamViewer предусмотрен механизм, защищающий клиентов от атак не только с одного конкретного компьютера, но и с множества компьютеров (так называемые «атаки бот-сетей»), пытающихся получить доступ к конкретному TeamViewer-ID.

Кроме того, мы хотели бы заявить, что ни один из этих случаев не свидетельствует о дефектах в архитектуре или механизмах обеспечения безопасности ПО TeamViewer.

Причина всех изученных нами случаев заражения кроется, прежде всего, в небрежном использовании ПО. Сюда, в частности, относится использование одинаковых паролей для разных учетных записей пользователей в системах различных поставщиков.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.