Todos sabemos muito bem que o ransomware é o tipo de malware mais perigoso dos últimos anos. Quando um usuário é infectado por ele, todos os seus arquivos pessoais são criptografados com um algoritmo que é praticamente impossível de quebrar. No entanto, agora os pesquisadores de segurança descobriram um novo ransomware através do qual qualquer pessoa pode hackear o computador dos espectadores no TeamViewer.
Este hack do TeamViewer pode permitir que os clientes sequestrem o computador dos espectadores
Ransomware é o tipo de malware mais perigoso dos últimos anos. Quando um usuário é infectado por ele, todos os seus arquivos pessoais são criptografados com um algoritmo praticamente impossível de quebrar e, posteriormente, são solicitados a pagar um “resgate” para recuperar os arquivos ou, caso contrário, todos os arquivos serão perdidos .
As formas mais comuns de distribuir ransomware são por meio de campanhas publicitárias maliciosas, kits de exploração ou e-mail, embora a forma de distribuição do novo ransomware, conhecida como Surpresa, tenha pego de surpresa tanto usuários quanto pesquisadores de segurança.
Surpresa, um nome que recebeu este ransomware pela extensão que adiciona a todos os arquivos infectados, é um novo ransomware detectado pela primeira vez em 10 de março por algumas assinaturas de antivírus, desenvolvido a partir do projeto EDA2 gratuito, um código ransomware aberto que foi publicado para fins educacionais, mas, como sempre, está sendo usado para fazer o mal.
Este ransomware chegou, como o nome sugere, de surpresa a todos os utilizadores. As vítimas do mesmo descobriram que, de repente, de um dia para o outro todos os seus arquivos foram codificados adicionando a extensão “.surprise” em todas as fotos, documentos e arquivos pessoais do sistema. Quando a infecção termina, o malware deixa 3 arquivos na área de trabalho com as instruções necessárias para recuperá-los. O autor deste ransomware se esconde atrás de duas contas de e-mail, uma no ProtonMail e outra no Sigaint.
Este ransomware usa um algoritmo AES-256 para criptografar os arquivos com uma chave mestra RSA-2048, que é armazenada em um servidor de controle remoto. Este malware é capaz de detectar 474 formatos de arquivo diferentes para criptografá-los, excluí-los com segurança e impedir sua recuperação por meio de cópias de segurança, a menos que sejam armazenados de forma idêntica em uma unidade externa desconectada do computador no momento da infecção.
Para recuperar os arquivos, o hacker pede um pagamento de 0,5 Bitcoin, cerca de US$ 786,25, porém, dependendo do tipo e número de arquivos que foram criptografados, o pagamento pode chegar a 25 Bitcoin, cerca de US$ 393.124,88.
Não se sabe como o hacker conseguiu se conectar aos servidores do TeamViewer para distribuir o Surprise. O ransomware em si não é surpresa, pois é como qualquer outro. No entanto, o mais curioso é a forma de infectar os usuários.
Embora no início não houvesse nada claro, à medida que o número de vítimas aumentava, um padrão pôde ser observado, e todos eles instalaram a ferramenta de controle remoto TeamViewer em seus sistemas. Analisando os registros desta ferramenta, todas as vítimas puderam ver como um usuário não autorizado se conectou aos seus computadores, baixou um arquivo chamado “surprise.exe” (o ransomware) e o executou manualmente, dando origem ao infecção.
No momento não se sabe como o hacker conseguiu se conectar remotamente aos computadores das vítimas, embora existam duas opções possíveis:-
A primeira, embora um pouco complicada, é que o pirata possui uma vulnerabilidade de dia zero que permite que ele se conecte remotamente a qualquer servidor TeamViewer. Os agentes de segurança do TeamViewer auditaram sua ferramenta após as primeiras infecções e garantiram que isso não fosse possível, o que leva à segunda opção.
O segundo e provavelmente mais provável é que ele use uma ferramenta de varredura de rede para detectar qualquer servidor TeamViewer conectado e, posteriormente, consiga acessar os sistemas de suas vítimas por meio de ataques de força bruta.
Ambas as empresas de segurança, como Bleeping Computer e TeamViewer, estão estudando o caso para esclarecer como foi possível para um hacker distribuir esse novo ransomware por meio dessa ferramenta de controle remoto.
Como recomendado diretamente pelo TeamViewer, se quisermos evitar surpresas, é aconselhável proteger as sessões do TeamViewer com uma senha complexa, ativar a autenticação dupla, manter o servidor atualizado para a versão mais recente e, finalmente, certificar-se de que o ataque do computador não vêm de qualquer outro ramo (por exemplo, outro malware instalado no sistema).
Os responsáveis por esta ferramenta de controle remoto também recomendam que todas as vítimas se dirijam às delegacias de polícia correspondentes para registrar uma ocorrência e poder ajudar, na medida do possível, a identificar os responsáveis.
Também é aconselhável não pagar porque, mesmo que o façamos, não temos a garantia de recuperar nossos arquivos, principalmente quando os últimos pings contra o servidor C&C não retornaram uma resposta.
O que você acha desse novo ransomware e da forma de infecção? Basta compartilhar todas as suas opiniões e pensamentos na seção de comentários abaixo.
0 Comments