Новая группа вымогателей данных, известная как Mad Liberator, стала значительной угрозой для пользователей AnyDesk, применяя обманную тактику, включающую поддельный экран обновления Microsoft Windows для облегчения эксфильтрации данных с компрометированных устройств. Эта операция, появившаяся в июле, привлекла внимание экспертов по кибербезопасности, особенно из-за уникального подхода к отвлечению внимания во время процесса кражи данных.
Целевые пользователи AnyDesk
Согласно отчету компании по кибербезопасности Sophos, модус операнди атаки Mad Liberator начинается с нежелательного запроса на подключение к компьютеру, использующему приложение удаленного доступа AnyDesk, инструмент, широко используемый ИТ-командами для управления корпоративными средами. Хотя точный метод выбора целей остается неясным, одна гипотеза предполагает, что группа может систематически пробовать различные идентификаторы подключения AnyDesk до тех пор, пока не будет принято подключение.
После установления соединения злоумышленники разворачивают двоичный файл, замаскированный под обновление Microsoft Windows, который представляет пользователю поддельный экран обновления Windows. Этот хитрый трюк служит единственной цели: отвлечь внимание жертвы, пока злоумышленники используют инструмент передачи файлов AnyDesk для кражи данных из учетных записей OneDrive, сетевых хранилищ и локального хранилища.
Во время этого имитированного процесса обновления клавиатура жертвы становится неактивной, эффективно предотвращая любые прерывания эксфильтрации данных. Наблюдения Sophos показывают, что такие атаки обычно длятся около четырех часов, в течение которых Mad Liberator воздерживается от шифрования любых данных после эксфильтрации. Тем не менее, группа гарантирует, что записки с выкупом оставляются в общих сетевых каталогах, что максимизирует их видимость в корпоративных настройках.
Интересно, что Sophos сообщил об отсутствии доказательств предварительного взаимодействия между Mad Liberator и их целями до запроса на подключение AnyDesk, а также не было зафиксировано никаких фишинговых попыток, поддерживающих методологию атаки. Тактика вымогательства, применяемая Mad Liberator, особенно поразительна; группа утверждает на своем сайте в даркнете, что сначала обращается к компрометированным компаниям с предложением помочь в устранении уязвимостей безопасности и восстановлении зашифрованных файлов при условии выполнения их финансовых требований.
Если пострадавшая организация не отвечает в течение 24 часов, ее имя публикуется на портале вымогательства, предоставляя ей семидневное окно для взаимодействия с угрозными актерами. Если в течение пяти дополнительных дней выкуп не будет выплачен, все украденные файлы становятся публичными на сайте Mad Liberator, который в настоящее время содержит список из девяти жертв.