2016/03/23

Ransomware surprise infectou PCs via TeamViewer


O ransomware é uma das mais perniciosas formas de malware actuais; o TeamViewer é uma das mais convenientes ferramentas para acesso remoto; combine-se os dois e temos uma "surpresa" verdadeiramente desagradável.

Múltiplos utilizadores queixaram-se de ser infectados com um ransomware chamado "surprise", que encritptou todos os seus ficheiros; mas o mais curioso é que essa infecção terá sido feita através do TeamViewer, uma ferramenta de acesso remoto que nos deixa trabalhar num computador à distância. Só que desta vez, era um hacker a controlar remotamente o PC, e a infectá-lo descaradamente.

Colocava-se a questão de como um hacker poderia ter ganho tal acesso aos computadores com TeamViewer, sendo que uma das opções era a existência de uma vulnerabilidade desconhecida grave. Mas, analisando-se o ransomware em detalhe descobriu-se que se tratava apenas de uma variante de um ransomware open-source disponibilizado para efeitos educacionais (e que tem sido modificado por hackers para efeitos mais nefastos) - que contém backdoors, e que ainda por cima não tinha servidores de controlo activados. Algo que indica que o hacker em questão não deveria ter grandes conhecimentos técnicos - e que faz também com que, mesmo quem quisesse pagar para salvar os seus dados, não o iria fazer, pois o ransomware não terá enviado esses dados para o seu dono.

A equipa do TeamViewer veio também clarificar que, de momento, não existe qualquer vulnerabilidade conhecida; e que mesmo a hipótese de brute force fica posta de lado, uma vez que o software está protegido contra isso, aumentando progressivamente o tempo de espera entre cada tentativa errada de entrar numa máquina, não permitindo mais que umas dezenas de tentativas por dia. Assim, a possibilidade apontada é a de que se tratem de utilizadores que usavam passwords partilhadas com outros serviços, e que o hacker tenha conseguido obter esses dados e tentado ver se alguma dessas passwords servia no TeamViewer.


... Fica assim demonstrada a obrigatoriedade de nunca se usarem passwords repetidas em diferentes serviços (e a recomendação da utilização de sistemas de autenticação 2-factor sempre que possível, sendo que o TeamViewer também o permite.) É uma das principais formas de evitarem destas "surpresas" desagradáveis.

2 comentários:

  1. lol, se deixaram aquilo tão facilmente aberto que alguém entrou sem saberem não deviam nem ter o teamviewer instalado e ponto final.

    Adoro a mania do pessoal hoje em dia de andar a usar e/ou mexer em coisas que não entende patavina, depois vão para os foruns chorar a pedir ajuda para cenas que nunca deviam ter mexido em primeiro lugar.

    ResponderEliminar
    Respostas
    1. Chiuuuu, cala-te, deixa-os fazer asneira senão há muitos técnicos que ficam sem trabalho :) :) :) :)

      Eliminar