Новая группа меняет привычную парадигму вымогателей.
В июле в киберпространстве появилась новая группа вымогателей Mad Liberator, которая использует программу Anydesk и методы социальной инженерии, чтобы проникать в системы компаний, красть данные и требовать выкуп. Специалисты Sophos раскрыли методы атаки группы на примере одного исследуемого инцидента.
В отличие от большинства вымогателей, Mad Liberator не шифрует файлы, а сосредотачивается на краже информации и угрозах утечки. Mad Liberator также ведёт сайт, где публикует украденные данные, если выкуп не был выплачен.
Для проникновения в системы Mad Liberator использует Anydesk, который часто применяется в компаниях для удалённого управления компьютерами. Жертвы, не подозревая об опасности, принимают запросы на подключение, полагая, что запрос исходит от IT-отдела организации. После получения доступа к устройству, злоумышленники запускают поддельный процесс обновления Windows.
Пока пользователь наблюдает за фальшивым обновлением, хакеры получают доступ к хранилищу OneDrive и файлам на сервере компании. Используя функцию FileTransfer в Anydesk, атакующие скачивают конфиденциальные данные, а также с помощью инструмента Advanced IP Scanner пытаются исследовать другие устройства в сети. В рассматриваемом случае вымогатели не нашли для себя ценных систем, и ограничились только основным компьютером. После завершения кражи хакеры оставляют на устройстве записку с требованием выкупа.
Атака длилась почти 4 часа, по окончании которых атакующие завершили поддельное обновление и отключили сессию Anydesk, вернув жертве контроль над устройством. Интересно, что вредоносное ПО было запущено вручную, без автоматического перезапуска. То есть вредонос оставался на системе жертвы неактивным после завершения атаки.
Гравитация научных фактов сильнее, чем вы думаете