Un nuovo pericolo nel panorama della cybersecurity รจ emerso con il gruppo di estorsione di dati noto come Mad Liberator, specializzato nel bersagliare gli utenti del popolare software di accesso remoto AnyDesk. Questo gruppo utilizza un metodo ingannevole per rubare informazioni sensibili, mostrando una schermata falsa di aggiornamento di Microsoft Windows per distrarre le vittime mentre estrae dati dai loro dispositivi.
Il metodo d’attacco di Mad Liberator
Panoramica dell’operazione
L’attivitร di Mad Liberator รจ stata registrata per la prima volta nel mese di luglio, creando preoccupazione tra esperti di cybersecurity. Sebbene gli analisti non abbiano riscontrato incidenti di crittografia dei dati, la gang segnala sul proprio sito di leak che utilizza algoritmi AES/RSA per bloccare i file. Questo suggerisce che, sebbene gli attacchi finora siano stati condotti per rubare dati, non si esclude la possibilitร che possano evolvere in criptazioni in futuro.
Il processo di attacco
Secondo una relazione della compagnia di cybersecurity Sophos, l’attacco di Mad Liberator inizia con una connessione non richiesta a un computer tramite l’applicazione di accesso remoto AnyDesk. Quest’app รจ frequentemente utilizzata dai team IT per gestire ambienti aziendali. Il metodo esatto di selezione dei potenziali bersagli rimane ancora poco chiaro, ma una teoria suggerisce che Mad Liberator invia richieste di connessione a vari identificativi di connessione AnyDesk fino a quando qualcuno accetta l’invito.
Una volta che la richiesta di connessione รจ approvata, gli aggressori caricano nel sistema compromesso un file binario denominato “Microsoft Windows Update“. Questo file presenta una schermata iniziale che simula un aggiornamento di Windows, il cui unico scopo รจ distrarre la vittima durante il furto di dati.
L’estrazione dei dati sotto mentite spoglie
Imbrogliare la vittima
Durante la schermata di aggiornamento falsa, la tastiera della vittima viene disattivata, evitando qualsiasi intervento che potrebbe interrompere il processo di estrazione. Utilizzando lo strumento di trasferimento file di AnyDesk, gli aggressori sono in grado di sottrarre dati da fonti come account OneDrive, condivisioni di rete e archiviazione locale.
Le operazioni di furto di dati sono state osservate da Sophos per una durata media di circa quattro ore. Durante questo tempo, Mad Liberator ha scelto di non crittografare i dati rubati, ma ha comunque lasciato note di riscatto nei directory di rete condivise, assicurandosi una visibilitร massima all’interno delle aziende vittime.
Meccanismo di estorsione
Sulla sua piattaforma darknet, Mad Liberator ha delineato il proprio processo di estorsione. Dopo un attacco, contattano le aziende violate per “offrire aiuto” nella risoluzione delle questioni di sicurezza e nel recupero dei file eventualmente crittografati, a condizione che vengano soddisfatte le loro richieste economiche. Se l’azienda non risponde entro 24 ore, il nome dell’organizzazione viene pubblicato sul portale di estorsione.
Le vittime ricevono quindi un termine di sette giorni per contattare gli aggressori, al termine del quale, qualora non vi fosse stato alcun pagamento, Mad Liberator pubblicherร pubblicamente tutti i file rubati. Attualmente, il loro sito elenca nove vittime documentate.
Le implicazioni del fenomeno
Cybersecurity in allerta
L’emergere di gruppi come Mad Liberator evidenzia la crescente necessitร di una sicurezza informatica robusta nelle aziende, specialmente in un’epoca in cui il lavoro remoto รจ diventato la norma. L’uso di strumenti di accesso remoto, sebbene pratico, puรฒ rappresentare un rischio se non gestito con le dovute precauzioni. Le conseguenze di tali attacchi possono essere devastanti, non solo in termini di perdita di dati sensibili, ma anche per quanto riguarda la reputazione aziendale e la fiducia dei clienti.
Proteggere le informazioni aziendali
Per limitare i rischi associati agli attacchi di Mad Liberator e simili, le aziende sono incoraggiate ad implementare misure di sicurezza avanzate, a formare i propri dipendenti sui pericoli delle connessioni non richieste e a monitorare continuamente le proprie infrastrutture IT per attivitร sospette. La preparazione e la consapevolezza sono fondamentali nel minimizzare l’impatto e la probabilitร di cadere vittima delle trappole tese da gruppi di cybercriminali.