Обнаружена новая кампания по краже данных, нацеленная на пользователей AnyDesk

Международные исследователи безопасности в настоящее время пристально следят за деятельностью хакерской группы, специализирующейся на краже данных и вымогательстве, под названием Mad Liberator. Эта группа хакеров в настоящее время активно развертывает вредоносную атакующую кампанию, нацеленную на пользователей приложения удаленного доступа к компьютеру AnyDesk, с помощью запуска поддельных экранов обновления Microsoft Windows для отвлечения внимания во время кражи данных с целевого устройства.

Нацелено на пользователей AnyDesk

Согласно отчету компании по кибербезопасности Sophos, исследователи говорят, что атака Mad Liberator начинается с нежелательного подключения к компьютеру с помощью AnyDesk, приложения, которое сегодня поддерживает удаленный доступ к компьютеру. Очень часто используется в ИТ-группах, управляющих корпоративными средами.

Неясно, как хакеры выбирают цели, но одна из теорий, которая получает всеобщее признание, заключается в том, что Mad Liberator будет пробовать потенциальные адреса (идентификатор подключения AnyDesk), пока кто-то не примет запрос на подключение.

После одобрения запроса на подключение злоумышленник помещает двоичный файл с именем Microsoft Windows Update на взломанную систему, отображая поддельный экран приветствия Windows Update.

Единственная цель этого мошенничества — отвлечь жертву, пока злоумышленник использует инструмент передачи файлов AnyDesk для кражи данных из учетных записей OneDrive, сетевых папок и локального хранилища.

Во время показа поддельного экрана обновления Windows клавиатура жертвы будет отключена, чтобы не прерывать процесс извлечения данных.

В обнаруженных Sophos атаках, которые длились около четырех часов, Mad Liberator не выполнял никакого шифрования данных в период после утечки. Однако они продолжают отправлять записки с требованием выкупа в общих сетевых папках, чтобы обеспечить максимальную видимость в корпоративных средах.

Sophos отметила, что не видела, чтобы Mad Liberator взаимодействовал с целью до запроса соединения AnyDesk, и не наблюдала никаких попыток фишинга в поддержку атаки.

Что касается процесса вымогательства Mad Liberator, хакерская группа заявляет на своем сайте в даркнете, что они сначала свяжутся с пострадавшими компаниями, чтобы предложить «помощь» в устранении проблем безопасности и восстановлении зашифрованных файлов, если их денежные требования будут выполнены.

Если пострадавшая компания не ответит в течение 24 часов, ее имя будет опубликовано на портале по борьбе с вымогательствами и ей будет предоставлено семь дней на то, чтобы связаться с лицами, осуществляющими угрозы.

Спустя еще пять дней после предъявления ультиматума без выплаты выкупа все украденные файлы были опубликованы на сайте Mad Liberator, у которого теперь девять жертв.

Марвин Фрай