Um novo grupo de extorsão de dados, conhecido como Mad Liberator, está mirando usuários do AnyDesk e executa uma falsa tela de atualização do Microsoft Windows para distrair enquanto exfiltra dados do dispositivo alvo.
A operação surgiu em julho e, embora pesquisadores que observaram a atividade não tenham visto nenhum incidente envolvendo criptografia de dados, o grupo afirma em seu site de vazamento de dados que usa algoritmos AES/RSA para bloquear arquivos.
Em um relatório da empresa de cibersegurança Sophos, pesquisadores afirmam que um ataque do Mad Liberator começa com uma conexão não solicitada a um computador usando o aplicativo de acesso remoto AnyDesk, que é popular entre equipes de TI que gerenciam ambientes corporativos.
Não está claro como o ator de ameaça seleciona seus alvos, mas uma teoria, embora ainda não comprovada, é que Mad Liberator tenta endereços potenciais (IDs de conexão do AnyDesk) até que alguém aceite a solicitação de conexão.
Uma vez que uma solicitação de conexão é aprovada, os atacantes soltam no sistema comprometido um binário denominado Atualização do Microsoft Windows, que mostra uma falsa tela de atualização do Windows.
O único propósito do truque é distrair a vítima enquanto o ator de ameaça usa a ferramenta de Transferência de Arquivos do AnyDesk para roubar dados de contas do OneDrive, compartilhamentos de rede e do armazenamento local.
Durante a falsa tela de atualização, o teclado da vítima é desabilitado, para evitar que interrompa o processo de exfiltração.
Nos ataques observados pela Sophos, que duraram aproximadamente quatro horas, o Mad Liberator não realizou nenhuma criptografia de dados na etapa pós-exfiltração.
No entanto, ainda deixou notas de resgate nos diretórios de rede compartilhada para garantir a máxima visibilidade em ambientes corporativos.
A Sophos observa que não viu o Mad Liberator interagir com o alvo antes da solicitação de conexão do AnyDesk e não registrou nenhuma tentativa de phishing apoiando o ataque.
A respeito do processo de extorsão do Mad Liberator, os atores de ameaça declaram em seu site darknet que primeiro contatam as empresas violadas oferecendo "ajuda" para corrigir seus problemas de segurança e recuperar arquivos criptografados se suas demandas monetárias forem atendidas.
Se a empresa vitimada não responder em 24 horas, seu nome é publicado no portal de extorsão e são dados sete dias para entrar em contato com os atores de ameaça.
Após mais cinco dias desde que o ultimato foi emitido sem um pagamento de resgate, todos os arquivos roubados são publicados no site do Mad Liberator, que atualmente lista nove vítimas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...