کمیته رکن چهارم – گروه هکری جدیدی با نام Mad Liberator، کاربران AnyDesk را هدف حمله قرار داده است و تا کنون اطلاعات ۹ قربانی را در وبسایت خود افشا کرده است.
هکرهای گروه تازه از راه رسیده Mad Liberator، پس از پذیرش درخواست anydesk توسط قربانی با نمایش یک صفحه بهروزرسانی جعلی ویندوز در پشت زمینه، اطلاعات کاربران را به سرقت میبرند و پس از مدتی برای عدم افشای اطلاعات از وی اخاذی میکنند.
حمله Mad Liberator با اتصال ناخواسته به رایانه با استفاده از برنامه دسترسی از راه دور AnyDesk که در بین تیمهای فناوری اطلاعات محبوب است آغاز میشود. مشخص نیست که مهاجم چگونه اهداف خود را انتخاب میکند، اما ممکن است شناسههای اتصال AnyDesk را تا زمانی که کسی درخواست اتصال را بپذیرد امتحان کند.
هنگامی که درخواست اتصال تأیید شد، مهاجم یک فایل باینری به نام Microsoft Windows Update را روی سیستم قربانی قرار میدهد که یک صفحه نمایش جعلی بهروزرسانی ویندوز را نشان میدهد. مهاجم از این ترفند برای منحرف کردن حواس قربانی استفاده میکند و در پشتزمینه از ابزار AnyDesk’s File Transfer برای سرقت دادهها از حسابهای OneDrive، اشتراکهای شبکه و حافظه محلی استفاده میکند. در زمان نمایش صفحه بهروزرسانی جعلی، صفحهکلید قربانی غیرفعال میشود تا از اختلال در فرآیند سرقت اطلاعات جلوگیری شود.
در حملات مشاهده شده توسط شرکت سوفوس که تقریباً چهار ساعت به طول انجامیده این گروه پس از سرقت اطلاعات هیچگونه رمزگذاری بر روی دادهها انجام نداده است. با این حال، یادداشتهای باجگیری را به اشتراک گذاشته تا از دیده شدن به اندازه کافی در محیط شرکت اطمینان حاصل کند.
این گروه برای اخاذی از کاربران ابتدا با شرکتهای قربانی تماس میگیرد و پیشنهاد میکند در صورت برآورده شدن مطالبات مالی به آنها کمک کنند تا مشکلات امنیتی خود را برطرف کرده و فایلهای رمزگذاری شده را بازیابی کنند. اگر شرکت قربانی در ۲۴ ساعت پاسخ ندهد، نام آنها در پورتال اخاذی منتشر میشود و هفت روز فرصت داده میشود تا با مهاجمان تماس بگیرند. پس از گذشت پنج روز دیگر، در صورت عدم پرداخت باج، تمامی اطلاعات سرقت شده در وبسایت Mad Liberator منتشر میشود. این گروه تاکنون اطلاعات ۹ قربانی را منتشر کرده است.
منبع : افتانا