Questo hack di TeamViewer potrebbe consentire ai clienti di dirottare il computer degli spettatori

0
101
Questo hack di TeamViewer potrebbe consentire ai clienti di dirottare il computer degli spettatori
Questo hack di TeamViewer potrebbe consentire ai clienti di dirottare il computer degli spettatori

Sappiamo tutti molto bene che il ransomware è il tipo di malware più pericoloso degli ultimi anni. Quando un utente ne viene infettato, tutti i suoi file personali vengono crittografati con un algoritmo praticamente impossibile da violare. Tuttavia, ora i ricercatori di sicurezza hanno scoperto un nuovo ransomware attraverso il quale chiunque può hackerare il computer degli spettatori in TeamViewer.

Questo hack di TeamViewer potrebbe consentire ai clienti di dirottare il computer degli spettatori

Il ransomware è il tipo di malware più pericoloso degli ultimi anni. Quando un utente ne viene infettato, tutti i suoi file personali vengono crittografati con un algoritmo praticamente impossibile da rompere e, in seguito, viene chiesto loro di pagare un “riscatto” per recuperare i file o, in caso contrario, tutti i file andranno persi .

I modi più comuni per distribuire il ransomware sono attraverso campagne pubblicitarie dannose, exploit kit o e-mail, sebbene la forma di distribuzione del nuovo ransomware, nota come Surprise, abbia colto di sorpresa sia gli utenti che i ricercatori di sicurezza.

Surprise, nome che ha ricevuto questo ransomware per l’estensione che aggiunge a tutti i file infetti, è un nuovo ransomware rilevato per la prima volta il 10 marzo da alcune firme antivirus, sviluppato dal progetto gratuito EDA2, un codice ransomware aperto che è stato pubblicato a scopo didattico ma, come sempre, viene utilizzato per fare il male.

Questo ransomware è arrivato, come suggerisce il nome, a sorpresa per tutti gli utenti. Le vittime della stessa hanno scoperto che, improvvisamente, da un giorno all’altro tutti i loro file erano stati codificati aggiungendo l’estensione “.surprise” in tutte le foto, documenti e file personali del sistema. Una volta terminata l’infezione, il malware lascia 3 file sul desktop con le istruzioni necessarie per recuperarli. L’autore di questo ransomware si nasconde dietro due account di posta elettronica, uno in ProtonMail e l’altro in Sigaint.

Questo ransomware utilizza un algoritmo AES-256 per crittografare i file con una chiave master RSA-2048, che è archiviata su un server di controllo remoto. Questo malware è in grado di rilevare 474 diversi formati di file per crittografarli, eliminarli in modo sicuro e impedirne il ripristino tramite copie di backup a meno che non siano archiviati in modo identico su un’unità esterna scollegata dal computer al momento dell’infezione.

Per recuperare i file, l’hacker chiede un pagamento di 0,5 Bitcoin, circa $786,25, tuttavia, a seconda del tipo e del numero di file che sono stati crittografati, il pagamento può ammontare a 25 Bitcoin, circa $393124,88.

Non si sa come l’hacker sia riuscito a connettersi ai server di TeamViewer per distribuire Surprise. Il ransomware stesso non è una sorpresa poiché all’incirca è come qualsiasi altro. Tuttavia, la cosa più curiosa è il modo per infettare gli utenti.

Sebbene all’inizio non fosse chiaro, con l’aumento del numero delle vittime, è stato possibile osservare uno schema e tutte avevano installato lo strumento di controllo remoto TeamViewer nei loro sistemi. Analizzando le registrazioni di questo strumento, tutte le vittime hanno potuto vedere come un utente non autorizzato si fosse connesso ai propri computer, avesse scaricato un file chiamato “surprise.exe” (il ransomware) e lo avesse eseguito manualmente, dando così origine al infezione.

Al momento non si sa come l’hacker sia riuscito a connettersi da remoto ai computer delle vittime, anche se le opzioni possibili sono due:-

Il primo, anche se un po’ complicato, è che il pirata ha una vulnerabilità zero-day che gli consente di connettersi da remoto a qualsiasi server TeamViewer. I responsabili della sicurezza di TeamViewer hanno verificato il loro strumento dopo le prime infezioni e si assicurano che ciò non sia possibile, il che porta alla seconda opzione.

Il secondo e probabilmente più probabile è che utilizza uno strumento di scansione della rete per rilevare qualsiasi server TeamViewer connesso e, successivamente, riesce ad accedere ai sistemi delle sue vittime tramite attacchi di forza bruta.

Entrambe le società di sicurezza come Bleeping Computer e i responsabili della sicurezza di TeamViewer stanno studiando il caso per far luce su come sia stato possibile per un hacker distribuire questo nuovo ransomware attraverso questo strumento di controllo remoto.

Come consigliato direttamente da TeamViewer, se vogliamo evitare sorprese, è consigliabile proteggere le sessioni di TeamViewer con una password complessa, attivare la doppia autenticazione, mantenere il server aggiornato all’ultima versione e infine fare in modo che l’attacco informatico non provengono da qualsiasi altro ramo (ad esempio, altro malware installato nel sistema).

I responsabili di questo strumento di controllo remoto raccomandano inoltre che tutte le vittime si rechino ai rispettivi dipartimenti di polizia per sporgere denuncia e poter aiutare, per quanto possibile, a identificare i responsabili.

È inoltre consigliabile non pagare perché, anche se lo facciamo, non abbiamo la garanzia di recuperare i nostri file, soprattutto quando gli ultimi ping contro il server C&C non hanno restituito una risposta.

Cosa ne pensi di questo nuovo ransomware e del modo di infezione? Condividi semplicemente tutte le tue opinioni e pensieri nella sezione commenti qui sotto.