Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 биткоинов.
Интернет-пользователей атакует новый вымогатель под названием Surprise. Оказавшись на системе, вредонос начинает шифрование содержащихся на компьютере файлов. К зашифрованным документам добавляется расширение.surprise. В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа. Однако весьма интересен способ его распространения. Для данной цели злоумышленники используют TeamViewer - инструмент удаленного доступа к рабочему столу.
Впервые о вымогательском ПО стало известно из сообщения пользователя форума Bleeping Computer. Как показало дальнейшее обсуждение темы, у всех жертв вредоноса был установлен TeamViewer версии 10.0.47484. Отметим, сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 биткоинов. Условия выплаты обсуждаются индивидуально.
По словам эксперта компании PrivacyPC Дэвида Балабана (David Balaban), проанализировавшего журналы трафикаTeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Как полагает Балабан, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer. Однако в самой компании опровергли вероятность несанкционированного проникновения.
Согласно словам владельца сайта Bleeping Computer Лоуренса Абрамса (Lawrence Abrams), вредонос Surprise представляет собой модифицированную версию вымогательского ПО с открытым исходным кодом EDA2, разработанного турецким исследователем Ютку Сеном (Utku Sen). Отметим, на базе данного ПО несколько вымогателей. Также среди злоумышленников пользуется популярностью другая разработка Сена – вымогательское ПО Hidden Tear. На его базе уже 24 шифровальщика.
Комментарий компании TeamViewer:
В последние дни появились сообщения о случаях заражения программами-вымогателями в связи с использованием ПО TeamViewer. Мы строго осуждаем любую преступную деятельность, но хотели бы подчеркнуть два аспекта:
1. До настоящего момента ни один из случаев заражения не связан с уязвимостью в ПО TeamViewer.
2. Существует ряд мер, которые помогают предотвратить потенциальные нарушения.
Мы тщательно исследовали случаи, которые стали нам известны, и пришли к выводу, что стоящие за ними проблемы безопасности не могут быть связаны с ПО TeamViewer. До сих пор у нас нет доказательств того, что злоумышленники используют какие-либо потенциальные уязвимости в TeamViewer. Более того, атаку с применением технологии «человек посередине» фактически можно исключить, поскольку в TeamViewer используется сквозное шифрование. У нас также нет оснований полагать, что причиной упомянутых заражений стала атака с использованием переборного криптоанализа. Дело в том, что TeamViewer экспоненциально увеличивает задержку между попытками подключения, поэтому всего на 24 попытки ушло бы целых 17 часов. Время задержки обнуляется только после ввода правильного пароля. В TeamViewer предусмотрен механизм, защищающий клиентов от атак не только с одного конкретного компьютера, но и с множества компьютеров (так называемые «атаки бот-сетей»), пытающихся получить доступ к конкретному TeamViewer-ID.
Кроме того, мы хотели бы заявить, что ни один из этих случаев не свидетельствует о дефектах в архитектуре или механизмах обеспечения безопасности ПО TeamViewer.
Причина всех изученных нами случаев заражения кроется, прежде всего, в небрежном использовании ПО. Сюда, в частности, относится использование одинаковых паролей для разных учетных записей пользователей в системах различных поставщиков.
Около месяца назад пользователи TeamViewer начали жаловаться на форумах, в «Твиттере» и социальных сетях на взломы своих аккаунтов. На прошлой неделе сообщения появились даже на Хабре . Поначалу казалось, что в этом нет ничего серьёзного. Были единичные случаи. Но поток жалоб нарастал. В соответствующих разделах Reddit и по хештегу в Twitter сейчас сотни пострадавших. Со временем стало понятно, что это не совпадение, здесь что-то более серьёзное. Вероятно, произошла массовая утечка паролей пользователей, которые используют одинаковые пароли на разных сервисах.
Среди пострадавших оказались не только простые обыватели, но и специалисты по безопасности. Одним из них стал Ник Брэдли (Nick Bradley), один из ведущих сотрудников отдела по информационной безопасности Threat Research Group компании IBM. Он сообщил о взломе своего аккаунта в пятницу 3 июня. Причём Ник непосредственно наблюдал, как компьютер захватили прямо у него на глазах.
«Примерно в 18:30 вечера я был посередине игры, - говорит Ник. - Внезапно я потерял контроль над мышью и в правом нижнем углу экрана возникло сообщение TeamViewer. Как только я понял, что происходит, то сразу убил приложение. Потом до меня дошло: у меня ведь другие машины с установленным TeamViewer!»
«Я побежал вниз по лестнице, где другой компьютер был включен и работал. Издали я увидел, что там уже появилось окно программы TeamViewer. Прежде чем я успел убрать его, нападавший запустил браузер и открыл новую веб-страницу. Как только я добрался до клавиатуры, я сразу аннулировал удалённый контроль, немедленно зашёл на сайт TeamViewer, изменил пароль и активировал двухфакторную аутентификацию».
Скриншот страницы, которую открыл злоумышленник
«К счастью, я был рядом с компьютером, когда произошла атака. Иначе её последствия сложно себе представить», - пишет специалист по безопасности. Он начал расследовать, каким образом это могло произойти. Он очень давно не использовал TeamViewer и почти забыл, что тот установлен в системе, так что логично предположить утечку пароля с какого-нибудь другого взломанного сервиса, например, LinkedIn.
Тем не менее, Ник продолжил расследование и обнаружил сотни сообщений на форумах о взломах TeamViewer.
По его мнению, действия злоумышленника похожи на то, что тот по-быстрому изучал, какие компьютеры попали в его распоряжение. Он открывал страницу, чтобы посмотреть IP-адрес жертвы и определить часовой пояс, вероятно, с планом вернуться позже в более подходящее время.
Программа TeamViewer предназначена для удалённого управления ПК. Завладев чужим аккаунтом, вы фактически получаете готовый руткит, установленный на компьютере жертвы. Многие пострадавшие жалуются, что с их банковских счетов и аккаунтов Paypal пропали деньги.
Представители TeamViewer полагают , что утечка паролей связана с рядом «мегавзломов» крупных социальных сетей. Месяц назад около 642 млн паролей Myspace, LinkedIn и прочих сайтов попали в открытый доступ. Вероятно, злоумышленники используют эту информацию, чтобы составить отдельные целевые базы с паролями пользователей Mail.ru , «Яндекса», теперь вот TeamViewer.
Компания TeamViewer отрицает взлом корпоративной инфраструктуры, а факт недоступности серверов в ночь с 1 на 2 июня объясняет проблемами с DNS и возможной DDoS-атакой. Компания рекомендует пострадавшим не использовать одни и те же пароли на разных сайтах и приложениях, а также включить двухфакторную аутентификацию. К этому можно добавить, что следует обновлять программу до последней версии и периодически менять пароли. Уникальные пароли желательно генерировать, например, с помощью менеджера паролей.
Кроме того, в качестве ответной меры на массовый взлом аккаунтов TeamViewer представила две новых функции безопасности . Первая из них - «Доверенные устройства» (Trusted Devices), которая вводит дополнительную процедуру разрешения на управление аккаунтом с нового устройства (для подтверждения нужно перейти по ссылке, которую присылают по электронной почте). Вторая - «Целостность данных» (Data Integrity), автоматический мониторинг несанкционированного доступа к аккаунту, в том числе с учётом IP-адресов, откуда осуществляется подключение. Если обнаружены признаки взлома, аккаунт подлежит принудительной смене пароля.
Ответ компании TeamViewer кажется логичным и адекватным действием на массовую утечку паролей пользователей (частично, по вине самих пользователей). Тем не менее, всё ещё остаются подозрения, что злоумышленники нашли уязвимость в самом программном обеспечении TeamViewer, что даёт возможность проводить брутфорс паролей и даже обходить двухфакторную аутентификацию. По крайней мере, на форумах есть сообщения от пострадавших, которые заявляют о том, что они использовали двухфакторную аутентификацию.
Около месяца назад пользователи TeamViewer начали жаловаться на форумах, в «Твиттере» и социальных сетях на взломы своих аккаунтов. На прошлой неделе сообщения появились даже на Хабре . Поначалу казалось, что в этом нет ничего серьёзного. Были единичные случаи. Но поток жалоб нарастал. В соответствующих разделах Reddit и по хештегу в Twitter сейчас сотни пострадавших. Со временем стало понятно, что это не совпадение, здесь что-то более серьёзное. Вероятно, произошла массовая утечка паролей пользователей, которые используют одинаковые пароли на разных сервисах.
Среди пострадавших оказались не только простые обыватели, но и специалисты по безопасности. Одним из них стал Ник Брэдли (Nick Bradley), один из ведущих сотрудников отдела по информационной безопасности Threat Research Group компании IBM. Он сообщил о взломе своего аккаунта в пятницу 3 июня. Причём Ник непосредственно наблюдал, как компьютер захватили прямо у него на глазах.
«Примерно в 18:30 вечера я был посередине игры, - говорит Ник. - Внезапно я потерял контроль над мышью и в правом нижнем углу экрана возникло сообщение TeamViewer. Как только я понял, что происходит, то сразу убил приложение. Потом до меня дошло: у меня ведь другие машины с установленным TeamViewer!»
«Я побежал вниз по лестнице, где другой компьютер был включен и работал. Издали я увидел, что там уже появилось окно программы TeamViewer. Прежде чем я успел убрать его, нападавший запустил браузер и открыл новую веб-страницу. Как только я добрался до клавиатуры, я сразу аннулировал удалённый контроль, немедленно зашёл на сайт TeamViewer, изменил пароль и активировал двухфакторную аутентификацию».
Скриншот страницы, которую открыл злоумышленник
«К счастью, я был рядом с компьютером, когда произошла атака. Иначе её последствия сложно себе представить», - пишет специалист по безопасности. Он начал расследовать, каким образом это могло произойти. Он очень давно не использовал TeamViewer и почти забыл, что тот установлен в системе, так что логично предположить утечку пароля с какого-нибудь другого взломанного сервиса, например, LinkedIn.
Тем не менее, Ник продолжил расследование и обнаружил сотни сообщений на форумах о взломах TeamViewer.
По его мнению, действия злоумышленника похожи на то, что тот по-быстрому изучал, какие компьютеры попали в его распоряжение. Он открывал страницу, чтобы посмотреть IP-адрес жертвы и определить часовой пояс, вероятно, с планом вернуться позже в более подходящее время.
Программа TeamViewer предназначена для удалённого управления ПК. Завладев чужим аккаунтом, вы фактически получаете готовый руткит, установленный на компьютере жертвы. Многие пострадавшие жалуются, что с их банковских счетов и аккаунтов Paypal пропали деньги.
Представители TeamViewer полагают , что утечка паролей связана с рядом «мегавзломов» крупных социальных сетей. Месяц назад около 642 млн паролей Myspace, LinkedIn и прочих сайтов попали в открытый доступ. Вероятно, злоумышленники используют эту информацию, чтобы составить отдельные целевые базы с паролями пользователей Mail.ru , «Яндекса», теперь вот TeamViewer.
Компания TeamViewer отрицает взлом корпоративной инфраструктуры, а факт недоступности серверов в ночь с 1 на 2 июня объясняет проблемами с DNS и возможной DDoS-атакой. Компания рекомендует пострадавшим не использовать одни и те же пароли на разных сайтах и приложениях, а также включить двухфакторную аутентификацию. К этому можно добавить, что следует обновлять программу до последней версии и периодически менять пароли. Уникальные пароли желательно генерировать, например, с помощью менеджера паролей.
Кроме того, в качестве ответной меры на массовый взлом аккаунтов TeamViewer представила две новых функции безопасности . Первая из них - «Доверенные устройства» (Trusted Devices), которая вводит дополнительную процедуру разрешения на управление аккаунтом с нового устройства (для подтверждения нужно перейти по ссылке, которую присылают по электронной почте). Вторая - «Целостность данных» (Data Integrity), автоматический мониторинг несанкционированного доступа к аккаунту, в том числе с учётом IP-адресов, откуда осуществляется подключение. Если обнаружены признаки взлома, аккаунт подлежит принудительной смене пароля.
Ответ компании TeamViewer кажется логичным и адекватным действием на массовую утечку паролей пользователей (частично, по вине самих пользователей). Тем не менее, всё ещё остаются подозрения, что злоумышленники нашли уязвимость в самом программном обеспечении TeamViewer, что даёт возможность проводить брутфорс паролей и даже обходить двухфакторную аутентификацию. По крайней мере, на форумах есть сообщения от пострадавших, которые заявляют о том, что они использовали двухфакторную аутентификацию.
Вопрос информационной безопасности в наши дни стоит особенно остро. Честно говоря, первое знакомство с программой TeamViewer для удаленного управления компьютерами пользователей вызывает двоякое чувство. С одной стороны, мы понимаем, что это невероятно удобно, и готовы пользоваться разработкой. С другой стороны, возникает вполне адекватный вопрос: насколько применение TeamViewer безопасно. На самом деле, удивляет тот факт, что программа чересчур просто получает доступ к нашей машине, которую мы изо всех сил стараемся обезопасить, используя антивирусное ПО и firewall.
По части безопасности надо отметить следующее: продукт использует шифрованное соединение, то же самое, что применяется при передаче данных по протоколам https (s на конце признак применения шифрованного соединения) и SSL. Используя почтовые сервисы, системы ДБО или электронные деньги, мы, незаметно для себя, пользуемся зашифрованными протоколами. Разработчики программы гарантируют, что даже их собственные сервера и маршрутизаторы (а ведь без применения этих систем невозможен двусторонний обмен), не способны распаковать зашифрованные пакеты данных. Мало того, каждый сеанс, помимо идентификатора, снабжен уникальным паролем, который изменяется от сеанса к сеансу. Все полученные исполняемые файлы имеют цифровую подпись, что позволяет проверить их источник. И в завершение надо отметить, что безопасность работы TeamViewer проверялась авторитетными организациями BISG e.V и FIDUCIA IT AG (Германия). Кроме того, в отличие от многих других фирм, компания TeamViewer GmbH прошла сертификацию системы контроля качества на соответствие стандарту по ISO 9001.
Область применения программного продукта TeamViewer
Мы не будем говорить о таком коммерческом применении программного продукта, как совместная разработка программ на продажу, поскольку для такого рода использования нужна отдельная платная лицензия. Не нужно быть специалистом в области коммуникаций, чтобы понять, насколько широки возможности применения коммерческой версии для бизнеса и консультаций клиентов.
Бесплатная лицензия предусматривает проведение некоммерческих презентаций, тренингов и курсов, предоставляет возможность общаться с друзьями с применением TeamViewer и оказывать им помощь. Находясь у себя на работе или в командировке, вы можете настраивать домашний компьютер и получать с него нужную вам информацию. Как часто специалисту в области компьютеров приходится консультировать своих друзей по телефону или Интернет с использованием почты, ICQ и ! Не менее часто такие консультации оказываются безуспешными, поскольку специалист и пользователь говорят на разных языках. В таком случае вы можете просто отправить клиентский модуль TeamViewer QuickSupport своему собеседнику и попросить его запустить приложение. Теперь бразды правления в ваших руках, и вы свободны для того, чтобы обучать собеседника и оказывать ему помощь.
Вероятно, самой потрясающей функцией продукта TeamViewer является возможность управления своим домашним компьютером или компьютером коллег с помощью iPhone и iPod. Система функционирует на всех возможных операционных системах: Windows (включая Vista и Windows 7), MacOS, Linux и мобильных ОС, что значительно расширяет круг применения программы. Предположим, удаленный компьютер на какой-либо автоматизированной точке работает при поддержке системы Linux. К примеру, именно к таким рабочим станциям подсоединяют кассовые аппараты с различными АРМ оператора. При помощи программы TeamViewer управление даже такими системами осуществляется достаточно просто.
Таким образом, применение описанного программного продукта существенно расширяет возможности глобальной сети. Что касается вопроса безопасности, то здесь можно быть абсолютно спокойным. Программа TeamViewer прошла проверку временем и более безопасна, чем многие сетевые проекты.
