Исследователи в области кибербезопасности из команды Sophos X-Ops Incident Response заметили, что хакеры используют необычную тактику социальной инженерии для доступа к системам жертв и кражи конфиденциальных данных.
Команда описала, как новый игрок на рынке программ-вымогателей под названием Mad Liberator появился в середине июля 2024 года. Он в основном фокусируется на эксфильтрации данных (а не на шифровании систем), но иногда использует двойное вымогательство (шифрование и кража данных). У группы также есть веб-сайт, где она угрожает опубликовать украденные данные, если жертвы не выплатят выкуп.
Что отличает Mad Liberator от других злоумышленников, так это их метод первоначального доступа. Обычно хакерские группы используют фишинг через электронную почту или службы мгновенных сообщений для проникновения в системы. В данном случае злоумышленникам удалось «угадывать» уникальный идентификатор Anydesk.
Использование легитимного программного обеспечения
Anydesk — это легальная программа для удаленного доступа, используемая тысячами компаний по всему миру. Каждое устройство с установленным Anydesk получает уникальный десятизначный идентификатор, по которому другие точки могут «дозвониться» и получить доступ. Каким-то образом злоумышленники дозвонились к одному из компьютеров пострадавшей организации без всякого предшествующего взаимодействия. Целевой компьютер не принадлежит ни одному высокопоставленному сотруднику или менеджеру.
Жертва решила, что ИТ-отдел проводит регулярное техническое обслуживание, и без лишних вопросов приняла дозвон.
Это дало злоумышленникам полный доступ, который они использовали для развертывания исполняемого файла, внешне напоминающего обновление Windows. Они также отключили ввод с клавиатуры, чтобы пользователь не мог случайно нажать клавишу Esc и увидеть исполняемую программу.
За несколько часов злоумышленники успели вытащить конфиденциальные данные с устройства, подключенных облачных сервисов и сканировали другие соединенные устройства для дальнейших проникновений.
Снова подтверждается принцип «ничему не доверяй, все подозревай» как основное правило для поддержания безопасности в рабочей среде.
Источник: TechRadar
