von Redaktion IT-A…
Lesezeit
2 Minuten
Ransomware-Infektionen via TeamViewer (Update)
Kaum ein Tag vergeht ohne neue Meldungen über weiterentwickelte Ransomware. Dieses Mal gaben sich die Angreifer jedoch kreativ und nutzten scheinbar TeamViewer-Installationen, um ihre Schadsoftware zu verteilen und auszuführen. TeamViewer hat die Fälle inzwischen bestätigt und auf wiederverwendete Passwörter seitens der Nutzer zurückgeführt.
2016 scheint das Jahr der Erpressungstrojaner zu werden. Immer neue Varianten drehen ihre Runden im Netz und verschlüsseln die Daten ihrer arglosen Opfer. Gelangen die bisherigen Schädlinge meist per E-Mail auf den Rechner, schleichen sich auch immer wieder Cryptotrojaner per Drive-by-Download über den Browser beziehungsweise dessen Plug-ins rein. Nun haben Angreifer offenbar einen Weg gefunden, Installationen der Fernwartungssoftware TeamViewer für die Verteilung ihrer Malware zu missbrauchen.
Die ahnungslosen Nutzer fanden laut einem Threat auf Bleepingcomputer [1] – einer Support-Plattform für Malware-Opfer – plötzlich ihre Dateien mit der Endung .surprise samt verschlüsseltem Inhalt vor. Allen ist scheinbar gemein, dass sie TeamViewer auf ihren Rechnern nutzen. Dabei fanden Betroffenen in ihren Logdateien der Fernwartungssoftware die Bestätigung, dass jemand unbekanntes über TeamViewer den Erpresser-Schadcode "surprise.exe" auf die Rechner geladen und ausgeführt hatte. Der Rest glich anschließend weitgehend dem üblichen Vorgehen von Ransomware samt Erpresserschreiben und einer zu tätigenden Zahlung von 0,5 Bitcoin.
Wie die Angreifer dabei die Fernwartungssoftware für ihre Zwecke missbrauchen konnten, um auf die Rechner zu gelangen, scheint bislang unklar. Denkbar ist, dass die betroffenen Nutzer schwache Passwörter verwendet haben, die sich leicht knacken ließen. Auch könnte eine bislang nicht geschlossene Schwachstelle in der Software das Herunterladen und Ausführen von Dateien ermöglichen.
UPDATE: Statement von TeamViewer
TeamViewer hat sich zu den Fällen geäußert und das folgende Statement veröffentlicht: "In den letzten Tagen sind einige Berichte über Ransomware-Infektionen aufgetaucht, die in Zusammenhang mit TeamViewer gebracht werden. Wir verurteilen kriminelle Machenschaften auf das Schärfste, können aber besonders zwei Aspekte unterstreichen:
(1) Keiner der bislang beschriebenen Fälle basiert auf einer Sicherheitslücke von TeamViewer
(2) Mit einigen wenigen Schritten kann man Missbrauch vorbeugen
Ad (1.): Wir haben die Fälle, die uns zur Kenntnis gebracht wurden detailliert betrachtet. Die entstandenen Sicherheitsproblematiken gehen danach nicht auf TeamViewer zurück. Wir haben bislang keinen Hinweis darauf, dass sich Angreifer in diesem Szenario eine Sicherheitslücke von TeamViewer zu Nutze machen. Durch die Ende-zu-Ende Verschlüsselung von TeamViewer ist zum Beispiel auch eine Man-in-the-Middle-Attacke nahezu ausgeschlossen. Im Übrigen gilt es, festzuhalten, dass keiner der aktuell im Umlauf befindlichen Artikel auf ein strukturelles Defizit oder eine Sicherheitslücke von TeamViewer hinweist.
Bei den Fällen, die wir gegenwärtig überprüft haben, liegt leichtsinnige Nutzung zu Grunde. Dazu zählt insbesondere die Mehrfachverwendung der selben Kennwörter über mehrere Benutzerkonten bei verschiedenen Anbietern hinweg.
Bei vielen Anbietern erweist sich das als kein Problem, weil entsprechende Sicherheitsvorkehrungen dafür sorgen, dass Benutzerdaten gut geschützt werden - so zum Beispiel bei TeamViewer. Bei anderen Anbietern sind Kundendaten jedoch schlecht oder gar nicht geschützt. Solche Anbieter sind eine einfache Zielscheibe für Hacker und Datendiebe, die ihre Beute über einschlägige Portale zum Kauf anbieten oder einfach nur unentgeltlich veröffentlichen.
Da TeamViewer eine weit verbreitete Software ist, versuchen viele Online-Kriminellen, sich mit Daten von kompromittierten Konten, die sie über derlei Quellen bezogen haben, einzuloggen, um herauszufinden, ob ein entsprechendes TeamViewer-Konto existiert. Ist dies der Fall, können sie sich leider oft Zugriff auf alle zugeordneten Geräte verschaffen, um dann Malware oder auch Ransomware dort zu installieren. Diesem Problem können Benutzer jedoch vorbeugen.
Ad (2.) TeamViewer distanziert sich aufs Schärfste von jedweden kriminellen Machenschaften und rät Benutzern dazu, sich durch entsprechende Gegenmaßnahmen zu schützen:
- Das beginnt beim Download: TeamViewer rät Benutzer dazu, nur auf die offiziellen TeamViewer-Kanäle zurückgreifen.
- Darüber hinaus sollten Benutzer unbedingt jedes Benutzerkonto - ganz gleich ob bei TeamViewer oder anderswo - durch einzigartige und sichere Kennwörter schützen.
- Des weiteren empfiehlt TeamViewer seinen Benutzern, ihre Konten mittels zwei Faktor-Authentifizierung wirksam zu schützen [2].
- Schließlich sollten Benutzer sicherstellen, dass ihre Geräte nicht etwa durch Mal-, Spyware oder sonstige Schadsoftware verunreinigt sind, mittels derer sich Hacker unautorisiert Zugriff auf geheime und sensible Daten verschaffen können.
Für technische Anfragen steht Benutzern der TeamViewer Support jederzeit unter support@teamviewer.com zur Verfügung.
Benutzern, die Opfer krimineller Aktivitäten wurden, empfiehlt TeamViewer, sich mit der zuständigen Polizeibehörde in Verbindung zu setzen und ihren Fall zur Anzeige zu bringen. Dies ist besonders wichtig, weil TeamViewer aufgrund der strengen Datenschutzregularien, denen das Unternehmen unterliegt, sensible Daten nur an autorisierte Personen oder Behörden herausgeben darf."
dr
[1] www.bleepingcomputer.com/forums/t/607593/surprise-ransomware-support-and-help-topic-encrypted-filesnotepad/
[2] www.teamviewer.com/de/help/402-How-do-I-activate-deactivate-two-factor-authentication-for-my-TeamViewer-account.aspx
Die ahnungslosen Nutzer fanden laut einem Threat auf Bleepingcomputer [1] – einer Support-Plattform für Malware-Opfer – plötzlich ihre Dateien mit der Endung .surprise samt verschlüsseltem Inhalt vor. Allen ist scheinbar gemein, dass sie TeamViewer auf ihren Rechnern nutzen. Dabei fanden Betroffenen in ihren Logdateien der Fernwartungssoftware die Bestätigung, dass jemand unbekanntes über TeamViewer den Erpresser-Schadcode "surprise.exe" auf die Rechner geladen und ausgeführt hatte. Der Rest glich anschließend weitgehend dem üblichen Vorgehen von Ransomware samt Erpresserschreiben und einer zu tätigenden Zahlung von 0,5 Bitcoin.
Wie die Angreifer dabei die Fernwartungssoftware für ihre Zwecke missbrauchen konnten, um auf die Rechner zu gelangen, scheint bislang unklar. Denkbar ist, dass die betroffenen Nutzer schwache Passwörter verwendet haben, die sich leicht knacken ließen. Auch könnte eine bislang nicht geschlossene Schwachstelle in der Software das Herunterladen und Ausführen von Dateien ermöglichen.
UPDATE: Statement von TeamViewer
TeamViewer hat sich zu den Fällen geäußert und das folgende Statement veröffentlicht: "In den letzten Tagen sind einige Berichte über Ransomware-Infektionen aufgetaucht, die in Zusammenhang mit TeamViewer gebracht werden. Wir verurteilen kriminelle Machenschaften auf das Schärfste, können aber besonders zwei Aspekte unterstreichen:
(1) Keiner der bislang beschriebenen Fälle basiert auf einer Sicherheitslücke von TeamViewer
(2) Mit einigen wenigen Schritten kann man Missbrauch vorbeugen
Ad (1.): Wir haben die Fälle, die uns zur Kenntnis gebracht wurden detailliert betrachtet. Die entstandenen Sicherheitsproblematiken gehen danach nicht auf TeamViewer zurück. Wir haben bislang keinen Hinweis darauf, dass sich Angreifer in diesem Szenario eine Sicherheitslücke von TeamViewer zu Nutze machen. Durch die Ende-zu-Ende Verschlüsselung von TeamViewer ist zum Beispiel auch eine Man-in-the-Middle-Attacke nahezu ausgeschlossen. Im Übrigen gilt es, festzuhalten, dass keiner der aktuell im Umlauf befindlichen Artikel auf ein strukturelles Defizit oder eine Sicherheitslücke von TeamViewer hinweist.
Bei den Fällen, die wir gegenwärtig überprüft haben, liegt leichtsinnige Nutzung zu Grunde. Dazu zählt insbesondere die Mehrfachverwendung der selben Kennwörter über mehrere Benutzerkonten bei verschiedenen Anbietern hinweg.
Bei vielen Anbietern erweist sich das als kein Problem, weil entsprechende Sicherheitsvorkehrungen dafür sorgen, dass Benutzerdaten gut geschützt werden - so zum Beispiel bei TeamViewer. Bei anderen Anbietern sind Kundendaten jedoch schlecht oder gar nicht geschützt. Solche Anbieter sind eine einfache Zielscheibe für Hacker und Datendiebe, die ihre Beute über einschlägige Portale zum Kauf anbieten oder einfach nur unentgeltlich veröffentlichen.
Da TeamViewer eine weit verbreitete Software ist, versuchen viele Online-Kriminellen, sich mit Daten von kompromittierten Konten, die sie über derlei Quellen bezogen haben, einzuloggen, um herauszufinden, ob ein entsprechendes TeamViewer-Konto existiert. Ist dies der Fall, können sie sich leider oft Zugriff auf alle zugeordneten Geräte verschaffen, um dann Malware oder auch Ransomware dort zu installieren. Diesem Problem können Benutzer jedoch vorbeugen.
Ad (2.) TeamViewer distanziert sich aufs Schärfste von jedweden kriminellen Machenschaften und rät Benutzern dazu, sich durch entsprechende Gegenmaßnahmen zu schützen:
- Das beginnt beim Download: TeamViewer rät Benutzer dazu, nur auf die offiziellen TeamViewer-Kanäle zurückgreifen.
- Darüber hinaus sollten Benutzer unbedingt jedes Benutzerkonto - ganz gleich ob bei TeamViewer oder anderswo - durch einzigartige und sichere Kennwörter schützen.
- Des weiteren empfiehlt TeamViewer seinen Benutzern, ihre Konten mittels zwei Faktor-Authentifizierung wirksam zu schützen [2].
- Schließlich sollten Benutzer sicherstellen, dass ihre Geräte nicht etwa durch Mal-, Spyware oder sonstige Schadsoftware verunreinigt sind, mittels derer sich Hacker unautorisiert Zugriff auf geheime und sensible Daten verschaffen können.
Für technische Anfragen steht Benutzern der TeamViewer Support jederzeit unter support@teamviewer.com zur Verfügung.
Benutzern, die Opfer krimineller Aktivitäten wurden, empfiehlt TeamViewer, sich mit der zuständigen Polizeibehörde in Verbindung zu setzen und ihren Fall zur Anzeige zu bringen. Dies ist besonders wichtig, weil TeamViewer aufgrund der strengen Datenschutzregularien, denen das Unternehmen unterliegt, sensible Daten nur an autorisierte Personen oder Behörden herausgeben darf."
dr
[1] www.bleepingcomputer.com/forums/t/607593/surprise-ransomware-support-and-help-topic-encrypted-filesnotepad/
[2] www.teamviewer.com/de/help/402-How-do-I-activate-deactivate-two-factor-authentication-for-my-TeamViewer-account.aspx
