- 13,850
- 20
- 8 Ноя 2022
Новая группа меняет привычную парадигму вымогателей.
В июле в киберпространстве Для просмотра ссылки Войдиили Зарегистрируйся новая группа вымогателей Mad Liberator, которая использует программу Anydesk и методы социальной инженерии, чтобы проникать в системы компаний, красть данные и требовать выкуп. Специалисты Sophos Для просмотра ссылки Войди или Зарегистрируйся на примере одного исследуемого инцидента.
В отличие от большинства вымогателей, Mad Liberator не шифрует файлы, а сосредотачивается на краже информации и угрозах утечки. Mad Liberator также ведёт сайт, где публикует украденные данные, если выкуп не был выплачен.
Для проникновения в системы Mad Liberator использует Anydesk, который часто применяется в компаниях для удалённого управления компьютерами. Жертвы, не подозревая об опасности, принимают запросы на подключение, полагая, что запрос исходит от IT-отдела организации. После получения доступа к устройству, злоумышленники запускают поддельный процесс обновления Windows.
Пока пользователь наблюдает за фальшивым обновлением, хакеры получают доступ к хранилищу OneDrive и файлам на сервере компании. Используя функцию FileTransfer в Anydesk, атакующие скачивают конфиденциальные данные, а также с помощью инструмента Advanced IP Scanner пытаются исследовать другие устройства в сети. В рассматриваемом случае вымогатели не нашли для себя ценных систем, и ограничились только основным компьютером. После завершения кражи хакеры оставляют на устройстве записку с требованием выкупа.
Атака длилась почти 4 часа, по окончании которых атакующие завершили поддельное обновление и отключили сессию Anydesk, вернув жертве контроль над устройством. Интересно, что вредоносное ПО было запущено вручную, без автоматического перезапуска. То есть вредонос оставался на системе жертвы неактивным после завершения атаки.
В июле в киберпространстве Для просмотра ссылки Войди
В отличие от большинства вымогателей, Mad Liberator не шифрует файлы, а сосредотачивается на краже информации и угрозах утечки. Mad Liberator также ведёт сайт, где публикует украденные данные, если выкуп не был выплачен.
Для проникновения в системы Mad Liberator использует Anydesk, который часто применяется в компаниях для удалённого управления компьютерами. Жертвы, не подозревая об опасности, принимают запросы на подключение, полагая, что запрос исходит от IT-отдела организации. После получения доступа к устройству, злоумышленники запускают поддельный процесс обновления Windows.
Пока пользователь наблюдает за фальшивым обновлением, хакеры получают доступ к хранилищу OneDrive и файлам на сервере компании. Используя функцию FileTransfer в Anydesk, атакующие скачивают конфиденциальные данные, а также с помощью инструмента Advanced IP Scanner пытаются исследовать другие устройства в сети. В рассматриваемом случае вымогатели не нашли для себя ценных систем, и ограничились только основным компьютером. После завершения кражи хакеры оставляют на устройстве записку с требованием выкупа.
Атака длилась почти 4 часа, по окончании которых атакующие завершили поддельное обновление и отключили сессию Anydesk, вернув жертве контроль над устройством. Интересно, что вредоносное ПО было запущено вручную, без автоматического перезапуска. То есть вредонос оставался на системе жертвы неактивным после завершения атаки.
- Источник новости
- www.securitylab.ru
