Nuovo gruppo di estorsione di dati Mad Liberator colpisce gli utenti AnyDesk tramite aggiornamenti fasulli - Socialmedialife.it
Un nuovo pericolo nel panorama della cybersecurity è emerso con il gruppo di estorsione di dati noto come Mad Liberator, specializzato nel bersagliare gli utenti del popolare software di accesso remoto AnyDesk. Questo gruppo utilizza un metodo ingannevole per rubare informazioni sensibili, mostrando una schermata falsa di aggiornamento di Microsoft Windows per distrarre le vittime mentre estrae dati dai loro dispositivi.
L’attività di Mad Liberator è stata registrata per la prima volta nel mese di luglio, creando preoccupazione tra esperti di cybersecurity. Sebbene gli analisti non abbiano riscontrato incidenti di crittografia dei dati, la gang segnala sul proprio sito di leak che utilizza algoritmi AES/RSA per bloccare i file. Questo suggerisce che, sebbene gli attacchi finora siano stati condotti per rubare dati, non si esclude la possibilità che possano evolvere in criptazioni in futuro.
Secondo una relazione della compagnia di cybersecurity Sophos, l’attacco di Mad Liberator inizia con una connessione non richiesta a un computer tramite l’applicazione di accesso remoto AnyDesk. Quest’app è frequentemente utilizzata dai team IT per gestire ambienti aziendali. Il metodo esatto di selezione dei potenziali bersagli rimane ancora poco chiaro, ma una teoria suggerisce che Mad Liberator invia richieste di connessione a vari identificativi di connessione AnyDesk fino a quando qualcuno accetta l’invito.
Una volta che la richiesta di connessione è approvata, gli aggressori caricano nel sistema compromesso un file binario denominato “Microsoft Windows Update“. Questo file presenta una schermata iniziale che simula un aggiornamento di Windows, il cui unico scopo è distrarre la vittima durante il furto di dati.
Durante la schermata di aggiornamento falsa, la tastiera della vittima viene disattivata, evitando qualsiasi intervento che potrebbe interrompere il processo di estrazione. Utilizzando lo strumento di trasferimento file di AnyDesk, gli aggressori sono in grado di sottrarre dati da fonti come account OneDrive, condivisioni di rete e archiviazione locale.
Le operazioni di furto di dati sono state osservate da Sophos per una durata media di circa quattro ore. Durante questo tempo, Mad Liberator ha scelto di non crittografare i dati rubati, ma ha comunque lasciato note di riscatto nei directory di rete condivise, assicurandosi una visibilità massima all’interno delle aziende vittime.
Sulla sua piattaforma darknet, Mad Liberator ha delineato il proprio processo di estorsione. Dopo un attacco, contattano le aziende violate per “offrire aiuto” nella risoluzione delle questioni di sicurezza e nel recupero dei file eventualmente crittografati, a condizione che vengano soddisfatte le loro richieste economiche. Se l’azienda non risponde entro 24 ore, il nome dell’organizzazione viene pubblicato sul portale di estorsione.
Le vittime ricevono quindi un termine di sette giorni per contattare gli aggressori, al termine del quale, qualora non vi fosse stato alcun pagamento, Mad Liberator pubblicherà pubblicamente tutti i file rubati. Attualmente, il loro sito elenca nove vittime documentate.
L’emergere di gruppi come Mad Liberator evidenzia la crescente necessità di una sicurezza informatica robusta nelle aziende, specialmente in un’epoca in cui il lavoro remoto è diventato la norma. L’uso di strumenti di accesso remoto, sebbene pratico, può rappresentare un rischio se non gestito con le dovute precauzioni. Le conseguenze di tali attacchi possono essere devastanti, non solo in termini di perdita di dati sensibili, ma anche per quanto riguarda la reputazione aziendale e la fiducia dei clienti.
Per limitare i rischi associati agli attacchi di Mad Liberator e simili, le aziende sono incoraggiate ad implementare misure di sicurezza avanzate, a formare i propri dipendenti sui pericoli delle connessioni non richieste e a monitorare continuamente le proprie infrastrutture IT per attività sospette. La preparazione e la consapevolezza sono fondamentali nel minimizzare l’impatto e la probabilità di cadere vittima delle trappole tese da gruppi di cybercriminali.