Mad Liberator: фальшивое обновление Windows скрывает масштабную кражу данных на глазах у жертв
Новая группа меняет привычную парадигму вымогателей.
В июле в киберпространстве появилась новая группа вымогателей Mad Liberator, которая использует программу Anydesk и методы социальной инженерии, чтобы проникать в системы компаний, красть данные и требовать выкуп. Специалисты Sophos раскрыли методы атаки группы на примере одного исследуемого инцидента.
В отличие от большинства вымогателей, Mad Liberator не шифрует файлы, а сосредотачивается на краже информации и угрозах утечки. Mad Liberator также ведёт сайт, где публикует украденные данные, если выкуп не был выплачен.
Для проникновения в системы Mad Liberator использует Anydesk, который часто применяется в компаниях для удалённого управления компьютерами. Жертвы, не подозревая об опасности, принимают запросы на подключение, полагая, что запрос исходит от IT-отдела организации. После получения доступа к устройству, злоумышленники запускают поддельный процесс обновления Windows.
Пока пользователь наблюдает за фальшивым обновлением, хакеры получают доступ к хранилищу OneDrive и файлам на сервере компании. Используя функцию FileTransfer в Anydesk, атакующие скачивают конфиденциальные данные, а также с помощью инструмента Advanced IP Scanner пытаются исследовать другие устройства в сети. В рассматриваемом случае вымогатели не нашли для себя ценных систем, и ограничились только основным компьютером. После завершения кражи хакеры оставляют на устройстве записку с требованием выкупа.
Атака длилась почти 4 часа, по окончании которых атакующие завершили поддельное обновление и отключили сессию Anydesk, вернув жертве контроль над устройством. Интересно, что вредоносное ПО было запущено вручную, без автоматического перезапуска. То есть вредонос оставался на системе жертвы неактивным после завершения атаки.