Windows

Mad Liberatorとして追跡されている新しいデータ強奪グループは、AnyDeskユーザーをターゲットにしており、ターゲットデバイスからデータを流出させる間、気をそらすために偽のMicrosoft Windowsアップデート画面を実行する。

この活動は7月に出現し、活動を観察していた研究者はデータの暗号化を伴うインシデントを見ませんでしたが、ギャングはファイルをロックするためにAES/RSAアルゴリズムを使用することを彼らのデータリークサイトに記しています。

Mad Liberator's "About" page
Mad Liberatorの “About “ページ
ソースは こちら:

AnyDeskユーザーを標的に

サイバーセキュリティ企業Sophosのレポートによると、Mad Liberatorの攻撃は、企業環境を管理するITチームの間で人気のAnyDeskリモート・アクセス・アプリケーションを使用したコンピュータへの未承諾接続から始まると研究者は述べています。

脅威の主体がどのようにターゲットを選択するかは不明ですが、まだ証明されていないものの、1つの仮説として、Mad Liberatorは、誰かが接続要求を受け入れるまで、潜在的なアドレス(AnyDesk接続ID)を試行するというものがあります。

Connection request on AnyDesk
AnyDesk での接続要求
ソース:ソフォス

接続要求が承認されると、攻撃者は侵害されたシステムにMicrosoft Windows Updateという名前のバイナリをドロップし、偽のWindows Updateのスプラッシュ画面を表示します。

Fake Windows Update splash screen
偽の Windows Update スプラッシュ画面
出典:Sophos:ソフォス

この策略の唯一の目的は、脅威者がAnyDeskのファイル転送ツールを使用してOneDriveアカウント、ネットワーク共有、およびローカルストレージからデータを盗む間に、被害者の注意をそらすことです。

偽のアップデート画面の間、被害者のキーボードは無効化され、流出プロセスの中断を防ぎます。

ソフォスが確認した攻撃は約4時間に及びましたが、Mad Liberatorは浸出後の段階ではデータの暗号化を行いませんでした。

しかし、企業環境において最大限の可視性を確保するため、共有ネットワークディレクトリ上に身代金要求のメモを投下しています。

Ransom note dropped on breached devices
侵入されたデバイスに投下された身代金メモ
ソースはこちら:ソフォス

ソフォスは、Mad LiberatorがAnyDeskの接続要求の前にターゲットとやりとりしているのを見たことがなく、攻撃をサポートするフィッシングの試みが記録されていないことを指摘しています。

Mad Liberatorの恐喝プロセスについて、脅威行為者はダークネットサイトで、金銭的な要求が満たされた場合、セキュリティ問題を解決し、暗号化されたファイルを回復する「手助け」を提供することを、最初に侵害された企業に連絡すると宣言しています。

被害企業が24時間以内に返答しない場合、その企業の名前が恐喝ポータルに公開され、脅威行為者に連絡する猶予が7日間与えられる。

最後通告が出されてから身代金の支払いがないままさらに5日が経過すると、盗まれたファイルはすべてMad Liberatorのウェブサイトに公開され、現在9人の被害者がリストアップされている。