Ha surgido un grupo de extorsión de datos recientemente identificado, conocido como Mad Liberator, que tiene como objetivo a los usuarios de la aplicación de acceso remoto AnyDesk. Este grupo emplea una estrategia engañosa, utilizando una pantalla falsa de actualización de Microsoft Windows para enmascarar sus actividades de exfiltración de datos. Inste a los empleados a que tengan cuidado al compartir la pantalla y prediquen la vigilancia. Observado por primera vez en julio, las operaciones de Mad Liberator han evitado notablemente el cifrado de datos. Sin embargo, según su sitio de filtración de datos, afirman utilizar algoritmos AES/RSA para bloquear archivos, lo que sugiere un potencial de ataques más destructivos en el futuro. ¿Cuál es la metodología de ataque y a quién se dirigen? Sophos, una empresa líder en ciberseguridad, informa que Mad Liberator inicia los ataques estableciendo conexiones informáticas no solicitadas a través de AnyDesk, una herramienta de acceso remoto ampliamente utilizada en entornos de TI corporativos. Por lo tanto, la vigilancia al compartir la pantalla nunca ha sido más importante. Una vez que se establece una conexión, los atacantes implementan un binario disfrazado de Microsoft Windows Update, que presenta una pantalla de presentación de actualización falsa al usuario. Esta pantalla de actualización falsa está diseñada únicamente para distraer a la víctima, mientras que Mad Liberator aprovecha la herramienta File Transfer de AnyDesk para robar datos de cuentas de OneDrive, recursos compartidos de red y almacenamiento local. El teclado de la víctima se apaga para garantizar que el proceso de exfiltración no se interrumpa. Ser observacional y tener un impacto En los incidentes documentados por Sophos, los ataques han durado aproximadamente cuatro horas. Aunque no se ha observado cifrado de datos después de estos ataques, se dejan notas de rescate en directorios de red compartidos para maximizar su visibilidad dentro de la organización comprometida. Curiosamente, Sophos no ha detectado ninguna interacción previa entre Mad Liberator y sus objetivos antes de la solicitud de conexión de AnyDesk. No se han registrado intentos de phishing asociados, lo que sugiere una estrategia de acceso inicial diferente. ¿Cómo han llevado a cabo el proceso de extorsión? Las tácticas de extorsión de Mad Liberator implican ponerse en contacto con las empresas violadas a través de su sitio de la red oscura, ofreciendo ayuda para solucionar problemas de seguridad y recuperar archivos cifrados a cambio de un rescate. Si la empresa no responde en 24 horas, su nombre se publica en el portal de extorsión de Mad Liberator. A partir de ese momento, la víctima tiene siete días para iniciar el contacto con los atacantes. Si el rescate no se paga en un plazo de cinco días, los datos robados se hacen públicos en el sitio web de Mad Liberator, que actualmente enumera a nueve víctimas.