Bezpečnostní výzkumníci společnosti Sophos upozorňují na skutečnost, že Mad Liberator začíná nevyžádaným připojením zacíleného počítače pomocí aplikace pro vzdálený přístup AnyDesk. Tu často používají IT týmy, které se starají o správu počítačů ve firmách.
Přesný postup výběru cíle útoku je ale doposud nejasný. Jedna z teorií, kterou mají bezpečnostní experti, předpokládá, že útočníci testují různá ID AnyDesku a to tak dlouho, dokud se nenaváže úspěšné spojení.
Jakmile se spojení úspěšně naváže, útočníci nainstalují software, který zobrazí falešné okno aktualizace systému Windows. Klávesnice počítače oběti je deaktivována čili uživatel nemůže v tu chvíli nijak zasáhnout.
Hackeři kradou data předstíráním běžné aktualizace systému Windows
Zatímco je pozornost oběti odvedena falešnou aktualizací a rozptylována falešnou aktualizační obrazovkou, hackeři pomocí nástroje AnyDesk pro přenos souborů kradou data z účtů OneDrive, síťových disků a místních úložišť. Společnost Sophos vypozorovala, že útoky trvají až čtyři hodiny (!).
Pachatelé na síťových discích zanechávají vzkaz s odkazem na výkupné, aby přilákali co největší pozornost. Na své darknetové stránce skupina vysvětluje, že nejprve kontaktuje společnosti, které se staly oběťmi, a nabízí pomoc při obnově dat. Samozřejmě ale, pokud budou splněny požadavky na výkupné.
Mohlo by vás zajímat
Pokud Mad Liberator neobdrží odpověď do 24 hodin, zveřejní jméno společnosti na své vyděračské stránce a spustí lhůtu sedmi dnů. Po dalších pěti dnech bez zaplacení zveřejní ukradené údaje na svých webových stránkách.
Server Bleeping Computer v současné době informuje o devíti potvrzených obětech, které jsou zveřejněny na stránkách hackerského gangu Mad Liberator.
Zdroj: Bleeping Computer