TeamViewer gebruikt voor verspreiding Surprise-ransomware

[Captain Kirk]

Computercriminelen maken gebruik van TeamViewer om een ransomware-variant genaamd 'Surprise' op computers en servers te installeren. Verschillende slachtoffers maken daar melding van op de website Bleeping Computer. TeamViewer is een programma om op afstand computers te beheren.

De aanvallers weten via TeamViewer op de systemen in te loggen. Daar wordt vervolgens de ransomware uitgevoerd. Het gaat om een bestand genaamd surprise.exe, dat alle versleutelde bestanden van de bestandsextensie .surprise voorziet. De ransomware is gebaseerd op de open source EDA2-ransomware. De EDA2-ransomware werd vorig jaar door een Turkse onderzoeker ontwikkeld. Naar eigen zeggen voor educatieve doeleinden.

Verschillende internetcriminelen gebruiken de code echter om eigen varianten te maken. Sommige van de slachtoffers waren vergeten dat TeamViewer nog op de aangevallen systemen stond. Het is echter onduidelijk hoe de aanvallers de inloggegevens wisten te bemachtigen. Een mogelijkheid is dat de aanvallers toegang tot de e-mailaccounts van hun slachtoffers hadden en zo het wachtwoord voor TeamViewer konden resetten. De exacte oorzaak is nog onbekend.

 

 

bron: security.nl

 

[Captain Kirk]

TeamViewer neemt maatregelen tegen Surprise-ransomware

 

De ontwikkelaars van TeamViewer hebben maatregelen genomen tegen internetcriminelen die de software gebruiken om computers en servers met ransomware te infecteren. TeamViewer is een programma om op afstand computers te beheren. Gisteren werd bekend dat criminelen via TeamViewer toegang tot computers weten te krijgen en daar vervolgens de Surprise-ransomware installeren.

Deze ransomware versleutelt vervolgens allerlei bestanden voor losgeld en geeft ze de bestandsextensie .surprise. De aanvallers gebruikten twee TeamViewer-accounts om toegang tot de computers van slachtoffers te krijgen. Daarop heeft TeamViewer besloten deze accounts uit te schakelen, zodat ze niet langer meer met de software zijn te gebruiken. Het is nog altijd onduidelijk hoe de aanvallers via TeamViewer toegang wisten te krijgen, maar mogelijk gaat het om gebruikers die hun TeamViewer-wachtwoord ook op andere websites gebruikten die werden gehackt.

Volgens Lawrence Abrams van Bleeping Computer heeft meer dan de helft van de slachtoffers een account op één van de gehackte websites die via Haveibeenpwned.com worden bijgehouden. Uit analyse van de Surprise-ransomware blijkt dat het ransomware-bestand zelf geen encryptiefuncties bevat. In plaats daarvan wordt erin het geheugen van de computer een ander bestand geladen dat uiteindelijk de bestanden versleutelt. Op deze manier probeert de ransomware detectie door virusscanners te omzeilen. Zodra bestanden eenmaal zijn versleuteld is er geen manier om die kosteloos te ontsleutelen.

 

 

 

bron: security.nl