Mad Liberator: фальшивое обновление Windows скрывает масштабную кражу данных на глазах у жертв

В июле в киберпространстве появилась новая группа вымогателей Mad Liberator, которая использует программу Anydesk и методы социальной инженерии, чтобы проникать в системы компаний, красть данные и требовать выкуп. Специалисты Sophos раскрыли методы атаки группы на примере одного исследуемого инцидента.

В отличие от большинства вымогателей, Mad Liberator не шифрует файлы, а сосредотачивается на краже информации и угрозах утечки. Mad Liberator также ведёт сайт, где публикует украденные данные, если выкуп не был выплачен.

Для проникновения в системы Mad Liberator использует Anydesk, который часто применяется в компаниях для удалённого управления компьютерами. Жертвы, не подозревая об опасности, принимают запросы на подключение, полагая, что запрос исходит от IT-отдела организации. После получения доступа к устройству, злоумышленники запускают поддельный процесс обновления Windows.

Пока пользователь наблюдает за фальшивым обновлением, хакеры получают доступ к хранилищу OneDrive и файлам на сервере компании. Используя функцию FileTransfer в Anydesk, атакующие скачивают конфиденциальные данные, а также с помощью инструмента Advanced IP Scanner пытаются исследовать другие устройства в сети. В рассматриваемом случае вымогатели не нашли для себя ценных систем, и ограничились только основным компьютером. После завершения кражи хакеры оставляют на устройстве записку с требованием выкупа.

Атака длилась почти 4 часа, по окончании которых атакующие завершили поддельное обновление и отключили сессию Anydesk, вернув жертве контроль над устройством. Интересно, что вредоносное ПО было запущено вручную, без автоматического перезапуска. То есть вредонос оставался на системе жертвы неактивным после завершения атаки.