Böse Überraschung: Surprise Ransomware per Teamviewer

surprise_ransomwareUnd schon wieder ist eine neue Variante an Ransomware aufgetaucht. Dieses berichtet Bleepingcomputer auf seiner Webseite. Diese neue Ransomware wurde “Surprise” genannt, da die Dateien mit der Endung .surprise verschlüsselt werden. Wie man außerdem berichtet, ist dieses wahrscheinlich die erste Ransomware, die sich über die Fernsteuerungs-Software TeamViewer verbreitet. Dieser Verschlüsselungstrojaner setzt zudem auf die Open-Source Ransomware EDA2, die bereits vor einigen Monaten in der freien Wildbahn gesichtet wurde. Dieser Typ von Ransomware wurde ursprünglich zu Forschungszwecken erstellt, doch inzwischen nutzen dies Cyberkriminelle auch für ihre Machenschaften aus, indem man den vorhandenen Open-Source Code modifiziert. Von Seiten der Entwickler wurde jedoch ein Back-Door eingebaut, so dass die Anti-Viren Industrie gewisse Ansatzpunkte hat, zügig einen entsprechenden Decyrpter bereitzustellen.

Im Falle von Surprise existiert jedoch noch keine Möglichkeit, die Daten selbst zu entschlüsseln.

Bei der Installation der Surprise-Ransomware ist der Nutzer unbeteiligt, denn die Cyberkriminellen nutzen die einfachen Möglichkeiten der Fernsteuerungs-Software, die schadhafte Datei surprise.exe selbst auf dem Computer des Opfers auszuführen. Während sämtliche Dateien anschließend verschlüsselt sind, sehen die Opfer drei Notepad-Dateien auf ihrem Desktop, wovon eine die Lösegeld-Forderung enthält. Dieses Lösegeld liegt bei einem halben Bitcoin, was beim aktuellen “Wechselkurs” etwa 200 EUR entspricht, jedoch mit dem Hinweis, dass diese je nach “Wert” der eigenen Daten bzw. des Netzwerks auch auf 25 Bitcoins und knapp 10.000 EUR steigen kann. Wie dies genau umgesetzt wird, ist derzeit ebenfalls unklar.surprise_ransomware_lock_message

Wie immer an dieser Stelle der Hinweis von uns: Zahlen Sie bitte kein Lösegeld an Cyberkriminelle

Wie die Cyberkriminellen  Zugriff auf die Computer der Opfer bekommen haben, ist der derzeit noch unklar. Bei Softpedia spekuliert man über zwei verschiedene Möglichkeiten. Variante Eins könnte ein Zero-day Bug in TeamViewer sein, doch dies ist die unwahrscheinlichere Methode, denn das Ausnutzen von Zero-Day Lücken erfordert ein bestimmtes Know-How, und Developer, die so ein Wissen haben, würde keine Ransomware-Variante wie EDA2 nutzen, bei der ein bekanntes Backdoor eingebaut wurde. Deshalb spekuliert man, dass hier über Brute-force Attacken vorgegangen wurde und dabei die Nutzer getroffen hat, die auf weniger komplexe, leicht zu erratende Standard-Passwörter vertraut haben.

TeamViewer selbst hat inzwischen auch uns gegenüber ein Statement abgegeben, in dem  dargelegt wird, dass
(1) Keiner der bislang beschriebenen Fälle auf einer Sicherheitslücke von TeamViewer basiert
(2) Mit einigen wenigen Schritten kann man Missbrauch vorbeugen – siehe 2 Faktor Authentifizierung.

Dies stimmt überein mit den Aussagen von Teamviewer am Ende des Artikels bei Softpedia, welches ebenfalls auf Variante Zwei als die wahrscheinlichere Möglichkeit schließen lässt.

Aus dem Grund empfielt man den Nutzern den Einsatz von sicheren Passwörtern und den Einsatz einer Zwei-Faktor Authentifizierung bei der Verwendung von der TeamViewer Software.

Wir können uns dieser Empfehlung nur anschließen. Eine Sicherheitslücke bei TeamViewer lässt sich also nach jetzigen Stand ausschließen und auch die Zwei-Faktor Authentifizierung sollte eigentlich dem Nutzer ausreichend Schutz bieten. Das Einfallstor für die Malware liegt somit offensichtlich beim Nutzer.

Zum Thema Sichere Passwörter und Zwei-Faktor Authentifizierung finden sich bei Botfrei übrigens zahlreiche Beiträge.