Размерът на необходимия откуп зависи от важността на данните и може да варира от 0,5 до 25 биткойна.
Интернет потребителите са атакувани от нов рансъмуер, наречен Surprise. След като влезе в системата, зловредният софтуер започва да криптира файлове на компютъра. Разширението .surprise се добавя към криптирани документи. Като цяло функционалността на ransomware не се различава от възможностите на други представители на този тип софтуер. Начинът на разпространение обаче е много интересен. За тази цел нападателите използват TeamViewer, инструмент за достъп до отдалечен работен плот.
За първи път ransomware стана известен от съобщението на потребителя на форума Bleeping Computer. Както показа по-нататъшното обсъждане на темата, всички жертви на зловредния софтуер са имали инсталиран TeamViewer версия 10.0.47484. Имайте предвид, че размерът на необходимия откуп зависи от степента на важност на данните и може да варира от 0,5 до 25 биткойна. Условията за плащане се обсъждат индивидуално.
Според Дейвид Балабан, експерт в PrivacyPC, който анализира регистрите за трафик на TeamViewer, нападателите са стартирали дистанционно процеса изненада.exe на компютрите на жертвите. Според Балабан престъпниците биха могли да използват идентификационните данни, които са били откраднати в резултат на компрометиране на компютърните системи на TeamViewer. Самата компания обаче отрече възможността за неразрешено влизане.
Според собственика на Bleeping Computer Лорънс Ейбрамс, злонамереният софтуер Surprise е модифицирана версия на ransomware EDA2 с отворен код, разработен от турския изследовател Утку Сен. Имайте предвид, че има няколко ransomware, базирани на този софтуер. Другата разработка на Sen, ransomware Hidden Tear, също е популярна сред киберпрестъпниците. Вече има 24 ransomware базирани на него.
Коментар на TeamViewer:
През последните дни имаше съобщения за инфекции с рансъмуер, свързани със софтуера TeamViewer. Ние категорично осъждаме всяка престъпна дейност, но бихме искали да подчертаем два аспекта:
1. Досега нито една от инфекциите не е била свързана с уязвимост в софтуера TeamViewer.
2. Има редица мерки, които могат да помогнат за предотвратяване на потенциални нарушения.
Ние проучихме задълбочено случаите, които пристигнаха на нашето внимание, и стигнахме до заключението, че проблемите със сигурността зад тях не могат да бъдат свързани със софтуера TeamViewer. Засега нямаме доказателства, че нападателите използват потенциални уязвимости в TeamViewer. Освен това атаката човек в средата може да бъде изключена, защото TeamViewer използва криптиране от край до край. Също така нямаме причина да вярваме, че атаките на криптоанализ с груба сила са причината за тези инфекции. Факт е, че TeamViewer експоненциално увеличава забавянето между опитите за свързване, така че само 24 опита биха отнели цели 17 часа. Времето за забавяне се изчиства само след въвеждане на правилната парола. TeamViewer има механизъм, който защитава клиентите от атаки не само от един конкретен компютър, но и от множество компютри (така наречените „ботнет атаки“), които се опитват да получат достъп до конкретен TeamViewer-ID.
Освен това бихме искали да заявим, че нито един от тези случаи не е показателен за дефекти в архитектурата или механизмите за сигурност на софтуера TeamViewer.
Причината за всички изследвани от нас случаи на заразяване се крие преди всичко в небрежното използване на софтуер. Това включва по-специално използването на едни и същи пароли за различни потребителски акаунти в системи от различни доставчици.
Преди около месец потребителите на TeamViewer започнаха да се оплакват във форуми, Twitter и социални мрежи, че акаунтите им са били хакнати. Миналата седмица се появиха съобщения дори на Хабре. В началото изглеждаше, че това не е нищо сериозно. Имаше единични случаи. Но потокът от оплаквания нарасна. В съответните раздели на Reddit и по хаштаг в Twitterсега има стотици жертви. С времето стана ясно, че това не е случайно, тук има нещо по-сериозно. Вероятно е имало масово изтичане на пароли на потребители, които използват едни и същи пароли в различни услуги.
Сред жертвите има не само обикновени хора, но и специалисти по сигурността. Един от тях беше Ник Брадли, старши офицер по сигурността в групата за изследване на заплахите в IBM. Той съобщи, че акаунтът му е бил хакнат в петък, 3 юни. И Ник директно наблюдаваше как компютърът беше иззет точно пред очите му.
„Около 18:30 часа бях по средата на игра“, казва Ник. - Изведнъж загубих контрол над мишката си и в долния десен ъгъл на екрана се появи съобщение на TeamViewer. Веднага щом разбрах какво се случва, веднага убих приложението. Тогава ми просветна: имам други машини с инсталиран TeamViewer!“
„Изтичах надолу по стълбите, където друг компютър беше включен и работеше. Отдалеч видях, че там вече се е появил прозорецът на TeamViewer. Преди да успея да го премахна, нападателят стартира браузър и отвори нова уеб страница. Веднага щом стигнах до клавиатурата, веднага отмених дистанционното управление, веднага отидох на уебсайта на TeamViewer, промених паролата и активирах двуфакторна автентификация.
Екранна снимка на страницата, която нападателят е отворил
„За щастие, когато се случи атаката, бях близо до компютъра. В противен случай е трудно да си представим последствията от него “, пише специалист по сигурността. Той започна да разследва как е могло да се случи това. Той не е използвал TeamViewer от много дълго време и почти е забравил, че е инсталиран в системата, така че е логично да се предположи, че има изтичане на парола от някоя друга хакната услуга, например LinkedIn.
Въпреки това, Ник продължи да разследва и намери стотици публикации във форумите за хакове на TeamViewer.
По негово мнение действията на нападателя са подобни на това, че той бързо е проучил кои компютри са на негово разположение. Той ще отиде на страницата, за да разгледа IP адреса на жертвата и да определи часовата зона, вероятно с план да се върне по-късно в по-подходящ момент.
TeamViewer е предназначен за дистанционно управление на компютъра. След като сте поели акаунта на някой друг, вие всъщност получавате готов руткит, инсталиран на компютъра на жертвата. Много жертви се оплакват, че парите са изчезнали от техните банкови и Paypal сметки.
TeamViewer вярва, че изтичането на парола е свързано с редица мегахакове в големите социални мрежи. Преди месец около 642 милиона пароли за Myspace, LinkedIn и други сайтове станаха публични. Вероятно нападателите използват тази информация, за да създадат отделни целеви бази данни с пароли за потребители на Mail.ru, Yandex и сега TeamViewer.
TeamViewer отрича хакването на корпоративната инфраструктура и обяснява факта, че сървърите не са били достъпни през нощта на 1 срещу 2 юни поради проблеми с DNS и възможна DDoS атака. Компанията препоръчва на жертвите да не използват едни и същи пароли на различни сайтове и приложения, а също така да активират двуфакторна автентификация. Към това можете да добавите, че трябва да актуализирате програмата до най-новата версия и периодично да променяте паролите. Желателно е да генерирате уникални пароли, например с помощта на мениджър на пароли.
В допълнение, TeamViewer въведе две нови функции за сигурност в отговор на масовото хакване на акаунти. Първият от тях е Trusted Devices, който въвежда допълнителна процедура за разрешение за управление на акаунт от ново устройство (за потвърждение е необходимо да следвате връзката, която се изпраща по имейл). Вторият е „Интегритет на данни“, автоматично наблюдение на неоторизиран достъп до акаунт, включително отчитане на IP адресите, от които се осъществява връзката. Ако се открият признаци на хакване, акаунтът подлежи на принудителна промяна на паролата.
Отговорът на TeamViewer изглежда е логичен и подходящ отговор на масивно изтичане на потребителска парола (отчасти по собствена вина на потребителите). Въпреки това все още има подозрения, че нападателите са открили уязвимост в самия софтуер на TeamViewer, която прави възможно грубо налагане на пароли и дори заобикаляне на двуфакторна автентификация. Поне във форумите има съобщения от жертви, които твърдят, че са използвали двуфакторна автентификация.
Преди около месец потребителите на TeamViewer започнаха да се оплакват във форуми, Twitter и социални мрежи, че акаунтите им са били хакнати. Миналата седмица се появиха съобщения дори на Хабре. В началото изглеждаше, че това не е нищо сериозно. Имаше единични случаи. Но потокът от оплаквания нарасна. В съответните раздели на Reddit и по хаштаг в Twitterсега има стотици жертви. С времето стана ясно, че това не е случайно, тук има нещо по-сериозно. Вероятно е имало масово изтичане на пароли на потребители, които използват едни и същи пароли в различни услуги.
Сред жертвите има не само обикновени хора, но и специалисти по сигурността. Един от тях беше Ник Брадли, старши офицер по сигурността в групата за изследване на заплахите в IBM. Той съобщи, че акаунтът му е бил хакнат в петък, 3 юни. И Ник директно наблюдаваше как компютърът беше иззет точно пред очите му.
„Около 18:30 часа бях по средата на игра“, казва Ник. - Изведнъж загубих контрол над мишката си и в долния десен ъгъл на екрана се появи съобщение на TeamViewer. Веднага щом разбрах какво се случва, веднага убих приложението. Тогава ми просветна: имам други машини с инсталиран TeamViewer!“
„Изтичах надолу по стълбите, където друг компютър беше включен и работеше. Отдалеч видях, че там вече се е появил прозорецът на TeamViewer. Преди да успея да го премахна, нападателят стартира браузър и отвори нова уеб страница. Веднага щом стигнах до клавиатурата, веднага отмених дистанционното управление, веднага отидох на уебсайта на TeamViewer, промених паролата и активирах двуфакторна автентификация.
Екранна снимка на страницата, която нападателят е отворил
„За щастие, когато се случи атаката, бях близо до компютъра. В противен случай е трудно да си представим последствията от него “, пише специалист по сигурността. Той започна да разследва как е могло да се случи това. Той не е използвал TeamViewer от много дълго време и почти е забравил, че е инсталиран в системата, така че е логично да се предположи, че има изтичане на парола от някоя друга хакната услуга, например LinkedIn.
Въпреки това, Ник продължи да разследва и намери стотици публикации във форумите за хакове на TeamViewer.
По негово мнение действията на нападателя са подобни на това, че той бързо е проучил кои компютри са на негово разположение. Той ще отиде на страницата, за да разгледа IP адреса на жертвата и да определи часовата зона, вероятно с план да се върне по-късно в по-подходящ момент.
TeamViewer е предназначен за дистанционно управление на компютъра. След като сте поели акаунта на някой друг, вие всъщност получавате готов руткит, инсталиран на компютъра на жертвата. Много жертви се оплакват, че парите са изчезнали от техните банкови и Paypal сметки.
TeamViewer вярва, че изтичането на парола е свързано с редица мегахакове в големите социални мрежи. Преди месец около 642 милиона пароли за Myspace, LinkedIn и други сайтове станаха публични. Вероятно нападателите използват тази информация, за да създадат отделни целеви бази данни с пароли за потребители на Mail.ru, Yandex и сега TeamViewer.
TeamViewer отрича хакването на корпоративната инфраструктура и обяснява факта, че сървърите не са били достъпни през нощта на 1 срещу 2 юни поради проблеми с DNS и възможна DDoS атака. Компанията препоръчва на жертвите да не използват едни и същи пароли на различни сайтове и приложения, а също така да активират двуфакторна автентификация. Към това можете да добавите, че трябва да актуализирате програмата до най-новата версия и периодично да променяте паролите. Желателно е да генерирате уникални пароли, например с помощта на мениджър на пароли.
В допълнение, TeamViewer въведе две нови функции за сигурност в отговор на масовото хакване на акаунти. Първият от тях е Trusted Devices, който въвежда допълнителна процедура за разрешение за управление на акаунт от ново устройство (за потвърждение е необходимо да следвате връзката, която се изпраща по имейл). Вторият е „Интегритет на данни“, автоматично наблюдение на неоторизиран достъп до акаунт, включително отчитане на IP адресите, от които се осъществява връзката. Ако се открият признаци на хакване, акаунтът подлежи на принудителна промяна на паролата.
Отговорът на TeamViewer изглежда е логичен и подходящ отговор на масивно изтичане на потребителска парола (отчасти по собствена вина на потребителите). Въпреки това все още има подозрения, че нападателите са открили уязвимост в самия софтуер на TeamViewer, която прави възможно грубо налагане на пароли и дори заобикаляне на двуфакторна автентификация. Поне във форумите има съобщения от жертви, които твърдят, че са използвали двуфакторна автентификация.
Въпросът за информационната сигурност е особено остър в наши дни. Честно казано, първото запознанство с програмата TeamViewer за дистанционно управление на компютрите на потребителите поражда двойно усещане. От една страна разбираме, че е невероятно удобно и сме готови да използваме разработката. От друга страна възниква напълно адекватен въпрос: колко безопасно е използването на TeamViewer. Всъщност е изненадващо, че програмата е твърде лесна за получаване на достъп до нашата машина, която правим всичко възможно да защитим с помощта на антивирусен софтуер и защитна стена.
По отношение на сигурността трябва да се отбележи следното: продуктът използва криптирана връзка, същата, която се използва при прехвърляне на данни чрез https протоколите (s в края показва използването на криптирана връзка) и SSL. Използвайки пощенски услуги, системи за дистанционно банкиране или електронни пари, ние, без да знаем за себе си, използваме криптирани протоколи. Разработчиците на програмата гарантират, че дори техните собствени сървъри и рутери (и без използването на тези системи двупосочният обмен е невъзможен) не могат да разопаковат криптирани пакети данни. Освен това всяка сесия, в допълнение към идентификатора, е снабдена с уникална парола, която се променя от сесия на сесия. Всички получени изпълними файлове са цифрово подписани, което ви позволява да проверите техния източник. И в заключение трябва да се отбележи, че безопасността на TeamViewer е проверена от реномирани организации BISG e.V и FIDUCIA IT AG (Германия). Освен това, за разлика от много други компании, TeamViewer GmbH е сертифицирана за своята система за управление на качеството в съответствие със стандарта ISO 9001.
Обхват на софтуерния продукт TeamViewer
Няма да говорим за такова търговско приложение на софтуерен продукт като съвместна разработка на софтуер за продажба, тъй като този вид използване изисква отделен платен лиценз. Не е нужно да сте учен по комуникации, за да разберете колко широк е обхватът на комерсиалната версия за бизнес консултации и консултации с клиенти.
Безплатният лиценз предвижда провеждане на некомерсиални презентации, обучения и курсове, предоставя възможност за комуникация с приятели с помощта на TeamViewer и оказване на помощ. Докато сте на работа или бизнес пътуване, можете да персонализирате домашния си компютър и да получите необходимата информация от него. Колко често компютърният специалист трябва да съветва приятелите си по телефона или по интернет, използвайки поща, ICQ и! Еднакво често подобни консултации са неуспешни, тъй като специалистът и потребителят говорят различни езици. В този случай можете просто да изпратите клиентския модул на TeamViewer QuickSupport на вашия събеседник и да го помолите да стартира приложението. Сега юздите са във вашите ръце и вие сте свободни да образовате и помагате на другия човек.
Вероятно най-вълнуващата характеристика на продукта TeamViewer е възможността да контролирате вашия дом или компютър на колеги с помощта на вашия iPhone и iPod. Системата работи на всички възможни операционни системи: Windows (включително Vista и Windows 7), MacOS, Linux и мобилна ОС, което значително разширява обхвата на приложение на програмата. Да предположим, че отдалечен компютър на автоматизирано място работи с поддръжка на Linux. Например, към такива работни станции са свързани касови апарати с различни работни станции на оператора. Дори тези системи са лесни за управление с TeamViewer.
По този начин използването на описания софтуерен продукт значително разширява възможностите на глобалната мрежа. Що се отнася до въпроса за сигурността, тук можете да бъдете абсолютно спокойни. TeamViewer издържа теста на времето и е по-сигурен от много мрежови проекти.
