Mad Liberator: Νέα ομάδα στοχεύει χρήστες AnyDesk και κλέβει δεδομένα
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Mad Liberator: Νέα ομάδα στοχεύει χρήστες AnyDesk και κλέβει δεδομένα
https://www.secnews.gr/613340/omada-mad-liberator-stoxeuei-xristes-anydesk-kai-klebei-dedomena/
Aug 19th 2024, 11:25
Μια νέα ομάδα εκβιασμού, που παρακολουθείται ως Mad Liberator, στοχεύει χρήστες του AnyDesk και εμφανίζει μια ψεύτικη οθόνη ενημέρωσης των Windows για να αποσπά την προσοχή των θυμάτων κατά την κλοπή δεδομένων από τη συσκευή-στόχο.
Η κακόβουλη επιχείρηση κλοπής δεδομένων εμφανίστηκε τον περασμένο μήνα. Μέχρι τώρα, οι ερευνητές δεν έχουν εντοπίσει κάποιο περιστατικό που να περιλαμβάνει κρυπτογράφηση δεδομένων. Ωστόσο, η Mad Liberator αναφέρει στον ιστότοπο διαρροής δεδομένων ότι χρησιμοποιεί αλγόριθμους AES/RSA για να κλειδώνει αρχεία των θυμάτων.
Η Mad Liberator στοχεύει χρήστες του AnyDesk
Η εταιρεία κυβερνοασφάλειας Sophos παρατήρησε ότι η επίθεση ξεκινά με μια αυτόκλητη σύνδεση με έναν υπολογιστή, χρησιμοποιώντας την εφαρμογή απομακρυσμένης πρόσβασης AnyDesk.
Δείτε επίσης: Ρώσοι hackers έκλεψαν κυβερνητικά δεδομένα του Ηνωμένου Βασιλείου
Δεν είναι σαφές πώς οι hackers επιλέγουν τους στόχους τους. Μια θεωρία (που δεν έχει επιβεβαιωθεί) είναι ότι η Mad Liberator δοκιμάζει πιθανές διευθύνσεις (AnyDesk connection IDs) έως ότου κάποιος αποδεχτεί το αίτημα σύνδεσης. Ας μην ξεχνάμε ότι το AnyDesk είναι μια πολύ δημοφιλής εφαρμογή που χρησιμοποιείται συχνά και σε εταιρικά περιβάλλοντα.
Μόλις εγκριθεί ένα αίτημα σύνδεσης, οι εισβολείς εγκαθιστούν στο παραβιασμένο σύστημα ένα binary με το όνομα Microsoft Windows Update, το οποίο εμφανίζει μια ψεύτικη οθόνη εκκίνησης του Windows Update. Στόχος της ομάδας Mad Liberator είναι να αποσπάσει την προσοχή του θύματος, ενώ χρησιμοποιεί το εργαλείο μεταφοράς αρχείων του AnyDesk για να κλέψει δεδομένα από λογαριασμούς OneDrive, κοινόχρηστα στοιχεία δικτύου και δεδομένα που αποθηκεύονται τοπικά.
Κατά την υποτιθέμενη ενημέρωση, το πληκτρολόγιο του θύματος είναι απενεργοποιημένο, για να αποφευχθεί η διακοπή της διαδικασίας κλοπής δεδομένων.
Στις επιθέσεις που είδε η Sophos, οι οποίες διήρκεσαν περίπου τέσσερις ώρες, η ομάδα εκβιασμού Mad Liberator δεν πραγματοποίησε κρυπτογράφηση δεδομένων στο στάδιο μετά την εξαγωγή. Ωστόσο, άφηνε σημειώματα λύτρων σε shared network directories για να διασφαλίσει τη μέγιστη ορατότητα σε εταιρικά περιβάλλοντα.
Δείτε επίσης: Παραβίαση δεδομένων της ADT εκθέτει πληροφορίες πελατών
Η Sophos δεν εντόπισε προηγούμενες επικοινωνίες των hackers με τα θύματα ή απόπειρες phishing που να υποστηρίζουν την επίθεση.
Όσον αφορά στη διαδικασία εκβιασμού, οι hackers Mad Liberator δηλώνουν στον ιστότοπό τους ότι έρχονται σε επαφή με τα θύματα και ζητούν να ικανοποιηθούν οι χρηματικές τους απαιτήσεις. Ως αντάλλαγμα θα τους βοηθήσουν να διορθώσουν τα ζητήματα ασφαλείας τους και να ανακτήσουν κρυπτογραφημένα αρχεία.
Εάν τα θύματα δεν ανταποκριθούν εντός 24 ωρών, το όνομά τους δημοσιεύεται στο site εκβιασμών και έχουν προθεσμία επτά ημερών για να επικοινωνήσουν με τους hackers και να διαπραγματευτούν. Αν περάσουν άλλες πέντε ημέρες από την έκδοση του τελεσίγραφου, όλα τα κλεμμένα αρχεία δημοσιεύονται στον ιστότοπο της Mad Liberator, ο οποίος αυτή τη στιγμή απαριθμεί εννέα θύματα.
Ο τρόπος στόχευσης θυμάτων της Mad Liberator αντανακλά μια ανησυχητική τάση μεταξύ των ομάδων κυβερνοεγκληματιών, που στοχεύουν όλο και περισσότερο σε δημοφιλή εργαλεία απομακρυσμένης πρόσβασης, όπως το AnyDesk. Καθώς αυτά τα εργαλεία έχουν νόμιμες χρήσεις και είναι απαραίτητα για τα σύγχρονα περιβάλλοντα εργασίας, οι χρήστες ενδέχεται, εν αγνοία τους, να πέσουν στην παγίδα. Αυτό υπογραμμίζει τη σημασία των ισχυρών μέτρων κυβερνοασφάλειας και της τακτικής εκπαίδευσης των εργαζομένων για την αναγνώριση ύποπτων αιτημάτων σύνδεσης και προσπαθειών phishing.
Δείτε επίσης: Το νέο worm CMoon στοχεύει Ρώσους σε επιθέσεις κλοπής δεδομένων
Μείνετε ασφαλείς!
Για την προστασία από απειλές όπως αυτές που θέτει η ομάδα Mad Liberator, οι οργανισμοί πρέπει να παραμείνουν σε εγρήγορση και να εφαρμόσουν αυστηρά πρωτόκολλα ασφαλείας. Αυτά μπορεί να περιλαμβάνουν έλεγχο ταυτότητας πολλαπλών παραγόντων, παρακολούθηση δικτύου και τακτική εκπαίδευση των εργαζομένων σχετικά με ασφαλείς διαδικτυακές πρακτικές. Επιπλέον, η κοινή χρήση πληροφοριών σχετικά με τις απειλές εντός της κοινότητας της κυβερνοασφάλειας μπορεί να ενισχύσει την ετοιμότητα και να επιτρέψει άμεσες απαντήσεις σε αναδυόμενες απειλές. Λαμβάνοντας προληπτικά μέτρα και μένοντας ενημερωμένοι σχετικά με τις εξελισσόμενες τακτικές που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου, οι επιχειρήσεις και τα άτομα μπορούν να μετριάσουν τους πιθανούς κινδύνους και να προστατεύσουν τα δεδομένα τους σε έναν όλο και πιο ψηφιακό κόσμο.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Mad Liberator: Νέα ομάδα στοχεύει χρήστες AnyDesk και κλέβει δεδομένα
https://www.secnews.gr/613340/omada-mad-liberator-stoxeuei-xristes-anydesk-kai-klebei-dedomena/
Aug 19th 2024, 11:25
Μια νέα ομάδα εκβιασμού, που παρακολουθείται ως Mad Liberator, στοχεύει χρήστες του AnyDesk και εμφανίζει μια ψεύτικη οθόνη ενημέρωσης των Windows για να αποσπά την προσοχή των θυμάτων κατά την κλοπή δεδομένων από τη συσκευή-στόχο.
Η κακόβουλη επιχείρηση κλοπής δεδομένων εμφανίστηκε τον περασμένο μήνα. Μέχρι τώρα, οι ερευνητές δεν έχουν εντοπίσει κάποιο περιστατικό που να περιλαμβάνει κρυπτογράφηση δεδομένων. Ωστόσο, η Mad Liberator αναφέρει στον ιστότοπο διαρροής δεδομένων ότι χρησιμοποιεί αλγόριθμους AES/RSA για να κλειδώνει αρχεία των θυμάτων.
Η Mad Liberator στοχεύει χρήστες του AnyDesk
Η εταιρεία κυβερνοασφάλειας Sophos παρατήρησε ότι η επίθεση ξεκινά με μια αυτόκλητη σύνδεση με έναν υπολογιστή, χρησιμοποιώντας την εφαρμογή απομακρυσμένης πρόσβασης AnyDesk.
Δείτε επίσης: Ρώσοι hackers έκλεψαν κυβερνητικά δεδομένα του Ηνωμένου Βασιλείου
Δεν είναι σαφές πώς οι hackers επιλέγουν τους στόχους τους. Μια θεωρία (που δεν έχει επιβεβαιωθεί) είναι ότι η Mad Liberator δοκιμάζει πιθανές διευθύνσεις (AnyDesk connection IDs) έως ότου κάποιος αποδεχτεί το αίτημα σύνδεσης. Ας μην ξεχνάμε ότι το AnyDesk είναι μια πολύ δημοφιλής εφαρμογή που χρησιμοποιείται συχνά και σε εταιρικά περιβάλλοντα.
Μόλις εγκριθεί ένα αίτημα σύνδεσης, οι εισβολείς εγκαθιστούν στο παραβιασμένο σύστημα ένα binary με το όνομα Microsoft Windows Update, το οποίο εμφανίζει μια ψεύτικη οθόνη εκκίνησης του Windows Update. Στόχος της ομάδας Mad Liberator είναι να αποσπάσει την προσοχή του θύματος, ενώ χρησιμοποιεί το εργαλείο μεταφοράς αρχείων του AnyDesk για να κλέψει δεδομένα από λογαριασμούς OneDrive, κοινόχρηστα στοιχεία δικτύου και δεδομένα που αποθηκεύονται τοπικά.
Κατά την υποτιθέμενη ενημέρωση, το πληκτρολόγιο του θύματος είναι απενεργοποιημένο, για να αποφευχθεί η διακοπή της διαδικασίας κλοπής δεδομένων.
Στις επιθέσεις που είδε η Sophos, οι οποίες διήρκεσαν περίπου τέσσερις ώρες, η ομάδα εκβιασμού Mad Liberator δεν πραγματοποίησε κρυπτογράφηση δεδομένων στο στάδιο μετά την εξαγωγή. Ωστόσο, άφηνε σημειώματα λύτρων σε shared network directories για να διασφαλίσει τη μέγιστη ορατότητα σε εταιρικά περιβάλλοντα.
Δείτε επίσης: Παραβίαση δεδομένων της ADT εκθέτει πληροφορίες πελατών
Η Sophos δεν εντόπισε προηγούμενες επικοινωνίες των hackers με τα θύματα ή απόπειρες phishing που να υποστηρίζουν την επίθεση.
Όσον αφορά στη διαδικασία εκβιασμού, οι hackers Mad Liberator δηλώνουν στον ιστότοπό τους ότι έρχονται σε επαφή με τα θύματα και ζητούν να ικανοποιηθούν οι χρηματικές τους απαιτήσεις. Ως αντάλλαγμα θα τους βοηθήσουν να διορθώσουν τα ζητήματα ασφαλείας τους και να ανακτήσουν κρυπτογραφημένα αρχεία.
Εάν τα θύματα δεν ανταποκριθούν εντός 24 ωρών, το όνομά τους δημοσιεύεται στο site εκβιασμών και έχουν προθεσμία επτά ημερών για να επικοινωνήσουν με τους hackers και να διαπραγματευτούν. Αν περάσουν άλλες πέντε ημέρες από την έκδοση του τελεσίγραφου, όλα τα κλεμμένα αρχεία δημοσιεύονται στον ιστότοπο της Mad Liberator, ο οποίος αυτή τη στιγμή απαριθμεί εννέα θύματα.
Ο τρόπος στόχευσης θυμάτων της Mad Liberator αντανακλά μια ανησυχητική τάση μεταξύ των ομάδων κυβερνοεγκληματιών, που στοχεύουν όλο και περισσότερο σε δημοφιλή εργαλεία απομακρυσμένης πρόσβασης, όπως το AnyDesk. Καθώς αυτά τα εργαλεία έχουν νόμιμες χρήσεις και είναι απαραίτητα για τα σύγχρονα περιβάλλοντα εργασίας, οι χρήστες ενδέχεται, εν αγνοία τους, να πέσουν στην παγίδα. Αυτό υπογραμμίζει τη σημασία των ισχυρών μέτρων κυβερνοασφάλειας και της τακτικής εκπαίδευσης των εργαζομένων για την αναγνώριση ύποπτων αιτημάτων σύνδεσης και προσπαθειών phishing.
Δείτε επίσης: Το νέο worm CMoon στοχεύει Ρώσους σε επιθέσεις κλοπής δεδομένων
Μείνετε ασφαλείς!
Για την προστασία από απειλές όπως αυτές που θέτει η ομάδα Mad Liberator, οι οργανισμοί πρέπει να παραμείνουν σε εγρήγορση και να εφαρμόσουν αυστηρά πρωτόκολλα ασφαλείας. Αυτά μπορεί να περιλαμβάνουν έλεγχο ταυτότητας πολλαπλών παραγόντων, παρακολούθηση δικτύου και τακτική εκπαίδευση των εργαζομένων σχετικά με ασφαλείς διαδικτυακές πρακτικές. Επιπλέον, η κοινή χρήση πληροφοριών σχετικά με τις απειλές εντός της κοινότητας της κυβερνοασφάλειας μπορεί να ενισχύσει την ετοιμότητα και να επιτρέψει άμεσες απαντήσεις σε αναδυόμενες απειλές. Λαμβάνοντας προληπτικά μέτρα και μένοντας ενημερωμένοι σχετικά με τις εξελισσόμενες τακτικές που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου, οι επιχειρήσεις και τα άτομα μπορούν να μετριάσουν τους πιθανούς κινδύνους και να προστατεύσουν τα δεδομένα τους σε έναν όλο και πιο ψηφιακό κόσμο.
Πηγή: www.bleepingcomputer.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια