Новая группировка хакеров
Специалисты Sophos раскрыли методы кибератак группы Mad Liberator на примере одного исследуемого ИТ-инцидента. В середине августа 2024 г. был опубликован отчет на сайте Sophos.
Команда реагирования на кибератаки из Sophos заметили, что эта киберпреступная группа впервые появилась в середине июля этого года. И хотя Sophos X-Ops называет ее группой разработчиков выкупного программного обеспечения (ПО), специалисты не заметила ни одного случая шифрования данных, лишь утечка данных.
Однако охотники за угрозами ссылаются на информацию с сайта Watchguard, согласно которой группа Mad Liberator использует шифрование для блокировки файлов жертв. Хакеры также использует тактику двойного вымогательства: сначала крадут данные, затем шифрует ИТ-системы и угрожает утечкой украденных файлов, если жертва не заплатит. У группировки Mad Liberator также есть и свой сайт утечек, чтобы назвать имена жертв и опозорить их, и утверждают, что украденные данные можно скачать бесплатно.
Как работает кибератака
Anydesk работает путем присвоения уникального идентификатора, в данном случае десятизначного адреса, каждому устройству, на котором он установлен. После установки приложения на устройство пользователь может либо запросить доступ к удаленному устройству, чтобы взять его под контроль, введя идентификатор, либо пригласить другого пользователя взять под контроль его устройство через удаленную сессию.
AnyDesk - несвободное ПО для удаленного доступа, удаленного управления и удаленного обслуживания компьютеров и других конечных устройств, выпущенное в 2014 г., разрабатываемое компанией AnyDesk Software. Предлагает возможности удаленного управления, передачи файлов и VPN.
На данный момент в Sophos не знают, как злоумышленники использует конкретный идентификатор Anydesk. Теоретически можно просто перебирать потенциальные адреса, пока кто-то не примет запрос на подключение; однако при наличии потенциально 10 млрд десятизначных номеров это кажется несколько неэффективным. В одном из случаев, который расследовала группа реагирования Sophos на ИТ-инциденты, не обнаружили никаких признаков контакта между злоумышленником Mad Liberator и жертвой до того, как жертва получила нежелательный запрос на подключение от Anydesk. Пользователь не являлся видным или публично заметным сотрудником, и не было никакой идентифицируемой причины, по которой он стал бы мишенью.
При получении запроса на подключение к Anydesk пользователь видит всплывающее окно. Пользователь должен авторизоваться, прежде чем соединение будет полностью установлено. В случае, с которым разбирались специалисты Sophos, жертва знала, что Anydesk используется ИТ-отделом ее компании. Поэтому они предположили, что входящий запрос на подключение - это обычная попытка ИТ-отдела провести техническое обслуживание, и нажали кнопку «Принять». После того как соединение было установлено, хакеры Mad Liberator передавали на устройство жертвы двоичный файл с названием Microsoft Windows Update с хэшем SHA256.
После получения доступа к устройству жертвы, злоумышленники запускали поддельный процесс обновления Windows. Пока пользователь наблюдает за фальшивым обновлением, хакеры получают доступ к хранилищу OneDrive и файлам на сервере компании. В этот момент, чтобы уловка не была обнаружена и пресечена пользователем-жертвой, злоумышленники Mad Liberator предприняли дополнительный шаг. Поскольку эта простая программа могла быть завершена, если бы пользователь случайно нажал клавишу «Esc», хакеры использовали функцию в Anydesk для отключения ввода с клавиатуры и мыши пользователя. Поскольку жертва больше не могла пользоваться клавиатурой, а вышеупомянутый экран выглядел как нечто непримечательное для любого пользователя Windows, жертва не знала о действиях, которые злоумышленники совершали в фоновом режиме, и не смогла бы легко остановить их, даже если бы у нее возникли подозрения.
Используя средство Anydesk FileTransfer, хакеры похитили и удалили файлы компании. Затем злоумышленник использовал Advanced IP Scanner, чтобы определить, есть ли в той же подсети другие интересующие его устройства, которые можно было бы использовать в своих целях.
Как только похищенные файлы оказывались под контролем Mad Liberator, злоумышленники запускали другую программу, которая создавала многочисленные записки с выкупом. Интересно, что эти выкупы создавались не на самом устройстве пользователя-жертвы, а в нескольких местах в общей сети, которая была привязана к устройству. В этих записках сообщалось, что данные были украдены, и приводились подробности о том, как жертва должна заплатить выкуп, чтобы предотвратить раскрытие украденных файлов.
Поддельное окно Windows Update скрывала действия хакеров от просмотра на экране жертвы. Кибератака длилась почти четыре часа, по окончании которой злоумышленники завершили работу фонового окна с обновлением и закрыли сеанс Anydesk, вернув контроль над устройством пользователю-жертве. По данным Sophos, двоичный файл был запущен хакерами вручную; без запланированной задачи или автоматики, которая могла бы выполнить его снова, когда угрожающий киберагент уйдет, файл просто остался на пораженной ИТ-системе.
Поделиться