Nauja grupuote keičia gerai žinomą turto prievartautojų paradigmą.

Liepos mėn. kibernetinėje erdvėje pasirodė nauja išpirkos reikalaujančios programinės įrangos grupė „Mad Liberator“, kuri, naudodama „Anydesk“ programinę įrangą ir socialinės inžinerijos metodus, įsiskverbė į bendrovių sistemas, pavogė duomenis ir pareikalavo išpirkos. „Sophos“ ekspertai atskleidė šios grupės atakos metodus naudodamiesi vienu tiriamu incidentu.

Skirtingai nei dauguma išpirkos reikalaujančių programų, „Mad Liberator“ nešifruoja failų, o daugiausia dėmesio skiria informacijos vagystės ir nutekinimo grėsmėms. Be to, „Mad Liberator“ turi svetainę, kurioje skelbia pavogtus duomenis, jei nesumokama išpirka.

Kad įsiskverbtų į sistemas, „Mad Liberator“ naudoja „Anydesk“, kuri dažnai naudojama įmonėse nuotoliniu būdu valdyti kompiuterius. Nesuvokdamos pavojaus, aukos priima prisijungimo užklausas, manydamos, kad užklausa ateina iš organizacijos IT skyriaus. Gavę prieigą prie įrenginio, užpuolikai paleidžia suklastotą „Windows“ atnaujinimo procesą.

Kol naudotojas stebi netikrą atnaujinimą, įsilaužėliai įgyja prieigą prie „OneDrive“ saugyklos ir bendrovės serveryje esančių failų. Naudodamiesi „Anydesk“ funkcija „FileTransfer“, įsilaužėliai parsisiunčia slaptus duomenis, taip pat naudodami išplėstinio IP skaitytuvo įrankį bando ištirti kitus tinklo įrenginius. Nagrinėjamu atveju išpirkos reikalaujančios programinės įrangos užpuolikai nerado vertingų sistemų, į kurias galėtų nusitaikyti, ir apsiribojo pagrindiniu kompiuteriu. Baigę vagystę įsilaužėliai prietaise paliko išpirkos raštelį.

Ataka truko beveik 4 valandas, kurių pabaigoje užpuolikai užbaigė netikrą atnaujinimą ir išjungė „Anydesk“ sesiją, grąžindami aukai įrenginio valdymą. Įdomu tai, kad kenkėjiška programa buvo paleista rankiniu būdu, be automatinio paleidimo iš naujo. Tai reiškia, kad pasibaigus atakai kenkėjiška programa aukos sistemoje liko neaktyvi.