Und schon wieder gibt ein Erpressungs-Trojaner sein Debüt: Surprise – der Name ist Programm. Diese Ransomware verbreitet sich augenscheinlich über den TeamViewer und der Überraschungseffekt liegt ganz bei den Angreifern. Dieses Produkt wird vor allem geschäftlich genutzt und ist für Fernwartungen, Fernzugriff und Remote Support kaum mehr wegzudenken.
Einige TeamViewer-Nutzer sind den Kriminellen bereits zum Opfer gefallen. Wie ein Sprecher von TeamViewer gegenüber heise Security versicherte, infizieren die Kriminellen die Computer jedoch nicht über eine Sicherheitslücke seitens der Software, sondern durch das Kapern von TeamViewer-Konten. Die damit verbundenen Computer werden dann durch Surprise infiziert und die Kriminellen fordern – wie auch schon bei „Locky“ – ein Lösegeld.
TeamViewer schließt MITM- und Brute-Force-Angriffe aus
Wie die Surprise-Entwickler letzten Endes an Benutzername und Passwort gelangen, steht bislang noch nicht fest. Was für TeamViewer jedoch fest steht, ist, dass die Kriminellen nicht durch Man-in-the-middle- oder Brute-Force-Angriffe an die Anmeldeinformationen kommen.
Laut Angaben eines Betroffenen erhalten alle infizierten Dateien die Erweiterung „.surprise“. Auch auf seinem Desktop waren Dateien wie „surprise.exe“ und „DECRYPTION_HOWTO.Notepad“, sowie „Encrypted_Files.Notepad“ zu finden, berichtet er im „bleepingcomputer“-Forum.
Man-in-the-Middle- und Brute-Force-Angriff?
Bei einem Man-in-the-Middle-Angriff „steht“ quasi ein Dritter zwischen zwei Kommunikationspartnern. Dabei versucht der Hacker, mitunter auch durch eine Schadsoftware, Daten abzugreifen, die zwischen zwei Verbindungen ausgetauscht werden. Auch wenn beide Parteien ihre Daten verschlüsseln, kann der Angreifer die gesendeten Daten „abhören“ und sich als einer der beiden Verbindungspartner ausgeben. Beste Beispiele hierfür: Das Abgreifen von Daten beim Online-Banking oder Anmeldung am E-Mail-Konto. Schutzmaßnahmen wären zum einen ständiges Verschlüsseln aller Verbindungen, regelmäßiges Aktualisieren eingesetzter Software und Überwachen bzw. regelmäßiges Kontrollieren von Netzwerken (Netzwerk-Monitoring).
Bei einem Brute-Force-Angriff versucht der Hacker ein Passwort zu knacken. Hierzu verwendet er eine Software, die dazu programmiert wurde, verschiedene Zeichenkombinationen in kurzen Zeitabständen auszutesten. Da die meisten Benutzer eher kurze und nur aus Buchstaben bestehende Passwörter vergeben, fällt es den Angreifern sehr leicht, das Kennwort mit ihren Hochleistungsrechnern herauszufinden. Im Umkehrschluss heißt das: Um verschlüsselte Dateien, Passwörter zum E-Mail-, Facebook-Account etc. gut schützen zu können, sollte Ihr Kennwort eine Länge von mindestens 9 – besser wären 12 – Zeichen haben und aus Groß- und Kleinbuchstaben, sowie aus Zahlen und Sonderzeichen bestehen.
Schutz gegen Surprise?
Wenn Sie Ihr Konto zusätzlich absichern wollen, rät TeamViewer dazu, die Zwei-Faktor-Authentifizierung zu nutzen. Hierbei erfolgt die Anmeldung zweistufig: Zuerst werden Benutzername bzw. E-Mail-Adresse und Passwort verlangt. Im zweiten Schritt erfordert dann die Eingabe eines sogenannten Sicherheitscodes. Lesen Sie dazu mehr auf der TeamViewer-Website unter: https://www.teamviewer.com/de/help/398-was-ist-zwei-faktor-authentifizierung-f-uuml-r-ihr-teamviewer-konto.
Quellen: www.heise.com, www.bleepingcomputer.com