Исследователи компании Sophos сообщили о появлении новой кибервымогательской группировки. Она называет себя Mad Liberator и похищает данные компаний, требуя затем выкуп за отказ от публикации их в открытом доступе. Тактика хакеров несколько необычна. Они используют подключение к сервису удаленного доступа AnyDesk, весьма популярному в крупных компаниях, работающих на устройствах под управлением операционной системы Windows.
Каким образом осуществляется подключение, в данный момент в точности неизвестно. Но есть предположение, что киберпреступники используют различные варианты адресов (идентификаторов AnyDesk) до тех пор, пока кто-либо из пользователей не примет их запрос на подключение, приняв его за легитимный. После этого на устройство загружается файл, блокирующий экран фальшивым уведомлением о том, что идет процесс обновления ОС Windows, прерывать который не следует. Одновременно блокируется и клавиатура, чтобы прервать процесс можно было лишь отключением питания устройства.
В действительности окно обновления является лишь маскировкой, скрывая работу инструмента пересылки файлов AnyDesk, похищаемых из локального хранилища, сетевых папок, к которым пользователь имеет доступ, и учетных записей OneDrive. Атаки подобного рода впервые были зафиксированы в июле. Интересно, что представители Mad Liberator уверяют, что после похищения данных зашифровывают информацию на устройствах. Однако ни жалоб со стороны жертв на блокировку устройств шифрованием, ни каких-либо других подтверждений этой информации в настоящее время нет. Так или иначе, хакеры требуют выкуп за отказ от публикации похищенных данных на своем сайте в «темной сети». В данный момент на этом сайте перечислены названия девяти компаний, ставших жертвами атак Mad Liberator.