Mad Liberator olarak izlenen yeni bir veri gasp grubu, anydesk kullanıcılarını hedefliyor ve hedef cihazdan veri eklerken dikkat dağıtmak için sahte bir Microsoft Windows Güncelleme ekranı çalıştırıyor.
Operasyon Temmuz ayında ortaya çıktı ve etkinliği gözlemleyen araştırmacılar veri şifrelemesini içeren herhangi bir olay görmemiş olsa da, çete veri sızıntı sitesinde dosyaları kilitlemek için AES/RSA algoritmalarını kullandıklarını not ediyor.
Siber güvenlik şirketi Sophos'un bir raporunda, araştırmacılar çılgın bir kurtarıcı saldırısının, kurumsal ortamları yöneten BT ekipleri arasında popüler olan AnyDesk uzaktan erişim uygulamasını kullanarak bir bilgisayara istenmeyen bir bağlantı ile başladığını söylüyor.
Tehdit oyuncusunun hedeflerini nasıl seçtiği belirsizdir, ancak henüz kanıtlanmamış olmasına rağmen bir teori, Mad Liberatörünün birisi bağlantı isteğini kabul edene kadar potansiyel adresleri (AnyDesk bağlantı kimlikleri) denemesidir.
Bir bağlantı isteği onaylandıktan sonra, saldırganlar tehlikeye atılan sisteme, sahte bir Windows güncelleme sıçrama ekranı gösteren Microsoft Windows güncellemesi adlı bir ikili olarak düşer.
Ruse'un tek amacı, tehdit oyuncusu OneDrive hesaplarından, ağ paylaşımlarından ve yerel depolamadan veri çalmak için AnyDesk'in dosya aktarım aracını kullanırken mağdurun dikkatini dağıtmaktır.
Sahte güncelleme ekranı sırasında, eksfiltrasyon işlemini bozmayı önlemek için kurbanın klavyesi devre dışı bırakılır.
Yaklaşık dört saat süren Sophos tarafından görülen saldırılarda, Mad Liberator, exfiltrasyon sonrası aşamada herhangi bir veri şifrelemesi gerçekleştirmedi.
Bununla birlikte, kurumsal ortamlarda maksimum görünürlüğü sağlamak için paylaşılan ağ dizinlerine fidye notları düşürdü.
Sophos, Mad Liberator'un Anydesk bağlantı talebinden önce hedefle etkileşime girdiğini ve saldırıyı destekleyen kimlik avı denemesi yapmadığını belirtti.
Mad Liberator’un gasp süreci ile ilgili olarak, tehdit aktörleri Darknet sitelerinde, parasal talepleri karşılanması durumunda güvenlik sorunlarını çözmelerine ve şifreli dosyaları kurtarmalarına yardımcı olan firmalarla ilk temas kurduklarını beyan ederler.
Mağdurlu şirket 24 saat içinde yanıt vermezse, adları gasp portalında yayınlanır ve tehdit aktörleriyle iletişim kurması için yedi gün verilir.
Ultimatum'un fidye ödemesi olmadan geçilmesinden bu yana beş gün sonra, çalınan tüm dosyalar şu anda dokuz kurbanı listeleyen Mad Liberator web sitesinde yayınlandı.
Dark Angels Ransomware rekor kıran 75 milyon dolarlık fidye alıyor
Microsoft: Octo Tempest en tehlikeli finansal hack gruplarından biridir
2024'ün ilk yarısında 450 milyon dolarlık rekor kıran fidye yazılımı tırmıkları
Windows 11 Önizleme Güncellemesi yeni güç modu seçenekleri ekler
Windows 11 nihayet size HDR özellikleri üzerinde daha fazla kontrol sağlayacak
Kaynak: Bleeping Computer