Nauja duomenų prievartavimo grupė, stebima kaip „Mad Liberator“, taikosi į „AnyDesk“ naudotojus ir paleidžia netikrą „Microsoft Windows“ naujinimo ekraną, kad atitrauktų dėmesį, kol išfiltruoja duomenis iš tikslinio įrenginio.
Operacija įvyko liepos mėnesį ir nors tyrėjai, stebėję veiklą, nepastebėjo jokių incidentų, susijusių su duomenų šifravimu, gauja savo duomenų nutekėjimo svetainėje pažymi, kad failams užrakinti naudoja AES/RSA algoritmus.
Taikymas AnyDesk naudotojams
Kibernetinio saugumo bendrovės „Sophos“ ataskaitoje mokslininkai teigia, kad „Mad Liberator“ ataka prasideda nuo nepageidaujamo prisijungimo prie kompiuterio naudojant „AnyDesk“ nuotolinės prieigos programą, kuri yra populiari tarp IT komandų, tvarkančių įmonių aplinką.
Neaišku, kaip grėsmės veikėjas pasirenka taikinius, tačiau viena teorija, nors dar neįrodyta, yra ta, kad „Mad Liberator“ bando galimus adresus (AnyDesk ryšio ID), kol kas nors priima prisijungimo užklausą.
Kai prisijungimo užklausa patvirtinama, užpuolikai į pažeistą sistemą įmeta dvejetainį pavadinimą Microsoft Windows naujinimaskuriame rodomas netikras „Windows Update“ paleidimo ekranas.
Vienintelis apgaulės tikslas yra atitraukti auką, o grėsmės veikėjas naudoja „AnyDesk“ failų perkėlimo įrankį, kad pavogtų duomenis iš „OneDrive“ paskyrų, tinklo bendrinimų ir vietinės saugyklos.
Netikros naujinimo ekrano metu aukos klaviatūra išjungiama, kad nebūtų sutrikdytas išfiltravimo procesas.
„Sophos“ matytose atakose, kurios truko maždaug keturias valandas, „Mad Liberator“ neatliko jokio duomenų šifravimo stadijoje po eksfiltracijos.
Tačiau ji vis tiek atsisakė išpirkos užrašų bendruose tinklo kataloguose, kad užtikrintų maksimalų matomumą įmonės aplinkoje.
„Sophos“ pažymi, kad nematė „Mad Liberator“ sąveikaujančio su taikiniu prieš „AnyDesk“ ryšio užklausą ir neužregistravo jokių sukčiavimo bandymų, palaikančių ataką.
Kalbant apie „Mad Liberator“ turto prievartavimo procesą, grėsmės veikėjai savo „darknet“ svetainėje skelbia, kad pirmiausia susisiekia su pažeidusiomis įmonėmis ir siūlo „padėti“ joms išspręsti saugumo problemas ir atkurti užšifruotus failus, jei bus patenkinti jų piniginiai reikalavimai.
Jei nukentėjusi įmonė per 24 valandas neatsako, jos pavardė skelbiama turto prievartavimo portale ir suteikiamos septynios dienos susisiekti su grėsmės veikėjais.
Praėjus dar penkioms dienoms po to, kai ultimatumas buvo paskelbtas be išpirkos, visi pavogti failai paskelbti „Mad Liberator“ svetainėje, kurioje šiuo metu išvardytos devynios aukos.