Computercriminelen maken gebruik van TeamViewer om een ransomware-variant genaamd 'Surprise' op computers en servers te installeren. Verschillende slachtoffers maken daar melding van op de website Bleeping Computer. TeamViewer is een programma om op afstand computers te beheren.

De aanvallers weten via TeamViewer op de systemen in te loggen. Daar wordt vervolgens de ransomware uitgevoerd. Het gaat om een bestand genaamd surprise.exe, dat alle versleutelde bestanden van de bestandsextensie .surprise voorziet. De ransomware is gebaseerd op de open source EDA2-ransomware. De EDA2-ransomware werd vorig jaar door een Turkse onderzoeker ontwikkeld. Naar eigen zeggen voor educatieve doeleinden.

Verschillende internetcriminelen gebruiken de code echter om eigen varianten te maken. Sommige van de slachtoffers waren vergeten dat TeamViewer nog op de aangevallen systemen stond. Het is echter onduidelijk hoe de aanvallers de inloggegevens wisten te bemachtigen. Een mogelijkheid is dat de aanvallers toegang tot de e-mailaccounts van hun slachtoffers hadden en zo het wachtwoord voor TeamViewer konden resetten. De exacte oorzaak is nog onbekend.