Mengden av den nødvendige løsepenger avhenger av viktigheten av dataene og kan variere fra 0,5 til 25 bitcoins.
Internett-brukere blir angrepet av en ny løsepengeprogramvare kalt Surprise. Når den først er på systemet, begynner skadelig programvare å kryptere filer på datamaskinen. .surprise-utvidelsen legges til i krypterte dokumenter. Generelt avviker ikke funksjonaliteten til løsepengevaren fra egenskapene til andre representanter for denne typen programvare. Måten den er distribuert på er imidlertid veldig interessant. Til dette formålet bruker angripere TeamViewer, et eksternt skrivebordstilgangsverktøy.
For første gang ble løsepengevaren kjent fra meldingen til brukeren av forumet Bleeping Computer. Som videre diskusjon av emnet viste, hadde alle ofrene for skadelig programvare TeamViewer versjon 10.0.47484 installert. Legg merke til at mengden av den nødvendige løsepenger avhenger av graden av viktighet av dataene og kan variere fra 0,5 til 25 bitcoins. Betalingsbetingelser diskuteres individuelt.
Ifølge David Balaban, en ekspert ved PrivacyPC, som analyserte TeamViewer-trafikkloggene, startet angriperne prosessen surprise.exe eksternt på ofrenes datamaskiner. Ifølge Balaban kunne de kriminelle ha brukt legitimasjonen som ble stjålet som et resultat av å kompromittere TeamViewer-datasystemene. Selskapet avviste imidlertid selv muligheten for uautorisert inntreden.
I følge Bleeping Computer-eier Lawrence Abrams er Surprise-malwaren en modifisert versjon av åpen kildekode-ransomware EDA2 utviklet av den tyrkiske forskeren Utku Sen. Merk at det finnes flere løsepengeprogrammer basert på denne programvaren. Sens andre utvikling, løsepengevaren Hidden Tear, er også populær blant nettkriminelle. Det er allerede 24 løsepengeprogrammer basert på den.
TeamViewer-kommentar:
De siste dagene har det vært rapporter om ransomware-infeksjoner knyttet til TeamViewer-programvaren. Vi fordømmer på det sterkeste enhver kriminell aktivitet, men vi ønsker å understreke to aspekter:
1. Til dags dato har ingen av infeksjonene vært knyttet til en sårbarhet i TeamViewer-programvaren.
2. Det finnes en rekke tiltak som kan bidra til å forhindre potensielle brudd.
Vi har undersøkt sakene som har kommet til vår oppmerksomhet grundig og konkludert med at sikkerhetsproblemene bak dem ikke kan relateres til TeamViewer-programvaren. Så langt har vi ingen bevis for at angripere utnytter potensielle sårbarheter i TeamViewer. Dessuten kan et mann-i-midten-angrep faktisk utelukkes fordi TeamViewer bruker ende-til-ende-kryptering. Vi har heller ingen grunn til å tro at brute-force kryptoanalyse-angrep var årsaken til disse infeksjonene. Faktum er at TeamViewer øker forsinkelsen mellom tilkoblingsforsøk eksponentielt, så bare 24 forsøk vil ta hele 17 timer. Forsinkelsestiden tilbakestilles først etter å ha tastet inn riktig passord. TeamViewer har en mekanisme som beskytter klienter mot angrep ikke bare fra én spesifikk datamaskin, men også fra flere datamaskiner (såkalte "botnet-angrep") som prøver å få tilgang til en bestemt TeamViewer-ID.
I tillegg ønsker vi å opplyse at ingen av disse tilfellene indikerer defekter i arkitekturen eller sikkerhetsmekanismene til TeamViewer-programvaren.
Årsaken til alle infeksjonstilfellene vi studerte er for det første i uforsiktig bruk av programvare. Dette inkluderer spesielt bruk av de samme passordene for forskjellige brukerkontoer på systemer fra forskjellige leverandører.
For omtrent en måned siden begynte TeamViewer-brukere å klage på fora, Twitter og sosiale nettverk om at kontoene deres ble hacket. Forrige uke dukket det opp meldinger selv på Habré. Først så det ut til at dette ikke var noe alvorlig. Det var isolerte tilfeller. Men strømmen av klager vokste. I de relevante delene av Reddit og ved hashtag i Twitter nå er det hundrevis av ofre. Etter hvert ble det klart at dette ikke var en tilfeldighet, det var noe mer alvorlig her. Sannsynligvis var det en massiv lekkasje av passord fra brukere som bruker de samme passordene på forskjellige tjenester.
Blant ofrene var ikke bare vanlige mennesker, men også sikkerhetsspesialister. En av dem var Nick Bradley, en senior sikkerhetsoffiser i IBMs Threat Research Group. Han rapporterte at kontoen hans ble hacket fredag 3. juni. Og Nick så direkte på da datamaskinen ble beslaglagt rett foran øynene hans.
"Omtrent klokken 18.30 var jeg midt i en kamp," sier Nick. – Plutselig mistet jeg kontrollen over musen min og en TeamViewer-melding dukket opp i nedre høyre hjørne av skjermen. Så snart jeg skjønte hva som skjedde, drepte jeg umiddelbart søknaden. Så gikk det opp for meg: Jeg har andre maskiner med TeamViewer installert!"
«Jeg løp ned trappene der en annen datamaskin var på og gikk. På avstand så jeg at TeamViewer-vinduet allerede hadde dukket opp der. Før jeg kunne fjerne den, startet angriperen en nettleser og åpnet en ny nettside. Så snart jeg kom til tastaturet, kansellerte jeg umiddelbart fjernkontrollen, gikk umiddelbart til TeamViewer-nettstedet, endret passordet og aktiverte tofaktorautentisering."
Skjermbilde av siden som angriperen åpnet
"Heldigvis var jeg i nærheten av datamaskinen da angrepet fant sted. Ellers er konsekvensene vanskelige å forestille seg, "skriver en sikkerhetsspesialist. Han begynte å undersøke hvordan dette kunne ha skjedd. Han har ikke brukt TeamViewer på veldig lenge og har nesten glemt at det er installert på systemet, så det er logisk å anta en passordlekkasje fra en annen hacket tjeneste, for eksempel LinkedIn.
Nick fortsatte imidlertid å undersøke og fant hundrevis av innlegg på forumene om TeamViewer-hack.
Etter hans mening ligner angriperens handlinger det faktum at han raskt studerte hvilke datamaskiner som sto til disposisjon. Han åpnet siden for å se på offerets IP-adresse og bestemme tidssonen, sannsynligvis med en plan om å komme tilbake senere på et mer passende tidspunkt.
TeamViewer er designet for fjernkontroll av PC. Etter å ha overtatt en annens konto, får du faktisk installert et ferdig rootkit på offerets datamaskin. Mange ofre klager over at penger er borte fra bank- og Paypal-kontoene deres.
TeamViewer mener passordlekkasjen er knyttet til en rekke mega-hack på store sosiale nettverk. For en måned siden ble rundt 642 millioner passord for Myspace, LinkedIn og andre nettsteder gjort offentlig tilgjengelig. Sannsynligvis bruker angriperne denne informasjonen til å lage separate måldatabaser med passord for brukere av Mail.ru, Yandex og nå TeamViewer.
TeamViewer benekter hacking av bedriftens infrastruktur, og forklarer at serveren ikke er tilgjengelig natt til 2. juni med DNS-problemer og et mulig DDoS-angrep. Selskapet anbefaler at ofre ikke bruker de samme passordene på forskjellige nettsteder og applikasjoner, og også aktiverer tofaktorautentisering. Til dette kan du legge til at du bør oppdatere programmet til siste versjon og endre passord med jevne mellomrom. Det er ønskelig å generere unike passord, for eksempel ved å bruke en passordbehandler.
I tillegg har TeamViewer introdusert to nye sikkerhetsfunksjoner som svar på den massive hackingen av kontoer. Den første av dem er Trusted Devices, som introduserer en ekstra prosedyre for tillatelse til å administrere en konto fra en ny enhet (for bekreftelse må du følge lenken som sendes via e-post). Den andre er «Dataintegritet», automatisk overvåking av uautorisert tilgang til en konto, inkludert å ta hensyn til IP-adressene som tilkoblingen gjøres fra. Hvis det blir funnet tegn på hacking, er kontoen gjenstand for en tvungen passordendring.
TeamViewers svar ser ut til å være et logisk og passende svar på massiv lekkasje av brukerpassord (delvis på grunn av brukernes feil). Likevel er det fortsatt mistanke om at angriperne fant en sårbarhet i selve TeamViewer-programvaren, som gjør det mulig å brute force-passord og til og med omgå tofaktorautentisering. I det minste på forumene er det meldinger fra ofre som hevder at de brukte tofaktorautentisering.
For omtrent en måned siden begynte TeamViewer-brukere å klage på fora, Twitter og sosiale nettverk om at kontoene deres ble hacket. Forrige uke dukket det opp meldinger selv på Habré. Først så det ut til at dette ikke var noe alvorlig. Det var isolerte tilfeller. Men strømmen av klager vokste. I de relevante delene av Reddit og ved hashtag i Twitter nå er det hundrevis av ofre. Etter hvert ble det klart at dette ikke var en tilfeldighet, det var noe mer alvorlig her. Sannsynligvis var det en massiv lekkasje av passord fra brukere som bruker de samme passordene på forskjellige tjenester.
Blant ofrene var ikke bare vanlige mennesker, men også sikkerhetsspesialister. En av dem var Nick Bradley, en senior sikkerhetsoffiser i IBMs Threat Research Group. Han rapporterte at kontoen hans ble hacket fredag 3. juni. Og Nick så direkte på da datamaskinen ble beslaglagt rett foran øynene hans.
"Omtrent klokken 18.30 var jeg midt i en kamp," sier Nick. – Plutselig mistet jeg kontrollen over musen min og en TeamViewer-melding dukket opp i nedre høyre hjørne av skjermen. Så snart jeg skjønte hva som skjedde, drepte jeg umiddelbart søknaden. Så gikk det opp for meg: Jeg har andre maskiner med TeamViewer installert!"
«Jeg løp ned trappene der en annen datamaskin var på og gikk. På avstand så jeg at TeamViewer-vinduet allerede hadde dukket opp der. Før jeg kunne fjerne den, startet angriperen en nettleser og åpnet en ny nettside. Så snart jeg kom til tastaturet, kansellerte jeg umiddelbart fjernkontrollen, gikk umiddelbart til TeamViewer-nettstedet, endret passordet og aktiverte tofaktorautentisering."
Skjermbilde av siden som angriperen åpnet
"Heldigvis var jeg i nærheten av datamaskinen da angrepet fant sted. Ellers er konsekvensene vanskelige å forestille seg, "skriver en sikkerhetsspesialist. Han begynte å undersøke hvordan dette kunne ha skjedd. Han har ikke brukt TeamViewer på veldig lenge og har nesten glemt at det er installert på systemet, så det er logisk å anta en passordlekkasje fra en annen hacket tjeneste, for eksempel LinkedIn.
Nick fortsatte imidlertid å undersøke og fant hundrevis av innlegg på forumene om TeamViewer-hack.
Etter hans mening ligner angriperens handlinger det faktum at han raskt studerte hvilke datamaskiner som sto til disposisjon. Han åpnet siden for å se på offerets IP-adresse og bestemme tidssonen, sannsynligvis med en plan om å komme tilbake senere på et mer passende tidspunkt.
TeamViewer er designet for fjernkontroll av PC. Etter å ha overtatt en annens konto, får du faktisk installert et ferdig rootkit på offerets datamaskin. Mange ofre klager over at penger er borte fra bank- og Paypal-kontoene deres.
TeamViewer mener passordlekkasjen er knyttet til en rekke mega-hack på store sosiale nettverk. For en måned siden ble rundt 642 millioner passord for Myspace, LinkedIn og andre nettsteder gjort offentlig tilgjengelig. Sannsynligvis bruker angriperne denne informasjonen til å lage separate måldatabaser med passord for brukere av Mail.ru, Yandex og nå TeamViewer.
TeamViewer benekter hacking av bedriftens infrastruktur, og forklarer at serveren ikke er tilgjengelig natt til 2. juni med DNS-problemer og et mulig DDoS-angrep. Selskapet anbefaler at ofre ikke bruker de samme passordene på forskjellige nettsteder og applikasjoner, og også aktiverer tofaktorautentisering. Til dette kan du legge til at du bør oppdatere programmet til siste versjon og endre passord med jevne mellomrom. Det er ønskelig å generere unike passord, for eksempel ved å bruke en passordbehandler.
I tillegg har TeamViewer introdusert to nye sikkerhetsfunksjoner som svar på den massive hackingen av kontoer. Den første av dem er Trusted Devices, som introduserer en ekstra prosedyre for tillatelse til å administrere en konto fra en ny enhet (for bekreftelse må du følge lenken som sendes via e-post). Den andre er «Dataintegritet», automatisk overvåking av uautorisert tilgang til en konto, inkludert å ta hensyn til IP-adressene som tilkoblingen gjøres fra. Hvis det blir funnet tegn på hacking, er kontoen gjenstand for en tvungen passordendring.
TeamViewers svar ser ut til å være et logisk og passende svar på massiv lekkasje av brukerpassord (delvis på grunn av brukernes feil). Likevel er det fortsatt mistanke om at angriperne fant en sårbarhet i selve TeamViewer-programvaren, som gjør det mulig å brute force-passord og til og med omgå tofaktorautentisering. I det minste på forumene er det meldinger fra ofre som hevder at de brukte tofaktorautentisering.
Spørsmålet om informasjonssikkerhet er spesielt akutt i disse dager. For å være ærlig gir det første bekjentskapet med TeamViewer-programmet for fjernstyring av brukernes datamaskiner en todelt følelse. På den ene siden forstår vi at det er utrolig praktisk og er klare til å bruke utviklingen. På den annen side dukker det opp et helt dekkende spørsmål: hvor sikker er bruken av TeamViewer. Faktisk er det overraskende at programmet er for enkelt å få tilgang til maskinen vår, som vi gjør vårt beste for å sikre ved hjelp av antivirusprogramvare og brannmur.
Når det gjelder sikkerhet, bør følgende bemerkes: produktet bruker en kryptert tilkobling, det samme som brukes ved overføring av data via https-protokollene (s på slutten indikerer bruk av en kryptert tilkobling) og SSL. Ved å bruke posttjenester, RBS-systemer eller elektroniske penger bruker vi, uten at vi vet det, krypterte protokoller. Utviklerne av programmet garanterer at selv deres egne servere og rutere (og uten bruk av disse systemene er toveis utveksling umulig), ikke er i stand til å pakke ut krypterte datapakker. I tillegg er hver økt, i tillegg til identifikatoren, utstyrt med et unikt passord som endres fra økt til økt. Alle mottatte kjørbare filer er digitalt signert, noe som lar deg bekrefte kilden. Og avslutningsvis bør det bemerkes at sikkerheten til TeamViewer ble kontrollert av anerkjente organisasjoner BISG e.V og FIDUCIA IT AG (Tyskland). I tillegg, i motsetning til mange andre selskaper, har TeamViewer GmbH blitt sertifisert for sitt kvalitetsstyringssystem i henhold til ISO 9001-standarden.
Omfanget av TeamViewer-programvareproduktet
Vi vil ikke snakke om en slik kommersiell anvendelse av et programvareprodukt som felles utvikling av programvare for salg, siden denne typen bruk krever en separat betalt lisens. Du trenger ikke være en kommunikasjonsekspert for å forstå hvor bredt omfanget av den kommersielle versjonen er for forretnings- og kunderådgivning.
Den gratis lisensen sørger for gjennomføring av ikke-kommersielle presentasjoner, treninger og kurs, gir muligheten til å kommunisere med venner ved hjelp av TeamViewer og gi assistanse. Mens du er på jobb eller på forretningsreise, kan du sette opp hjemmedatamaskinen og få informasjonen du trenger fra den. Hvor ofte må en dataspesialist gi råd til vennene sine via telefon eller Internett ved å bruke e-post, ICQ og! Like ofte er slike konsultasjoner mislykkede, siden spesialisten og brukeren snakker forskjellige språk. I dette tilfellet kan du ganske enkelt sende TeamViewer QuickSupport-klientmodulen til samtalepartneren din og be ham starte applikasjonen. Nå er tøylene i dine hender, og du står fritt til å utdanne og bistå samtalepartneren.
Sannsynligvis den mest fantastiske funksjonen til TeamViewer-produktet er muligheten til å kontrollere hjemmet eller kollegenes datamaskin ved hjelp av iPhone og iPod. Systemet fungerer på alle mulige operativsystemer: Windows (inkludert Vista og Windows 7), MacOS, Linux og mobil OS, noe som utvider programmets bruksområde betydelig. Anta at en ekstern datamaskin på et automatisert sted kjører Linux-støtte. For eksempel er det til slike arbeidsstasjoner at kasseapparater med ulike operatørarbeidsstasjoner kobles til. Selv disse systemene er enkle å administrere med TeamViewer.
Dermed utvider bruken av det beskrevne programvareproduktet mulighetene til det globale nettverket betydelig. Når det gjelder sikkerhetsproblemet, kan du være helt rolig her. TeamViewer har bestått tidens tann og er sikrere enn mange nettverksprosjekter.
