กลุ่ม Mad Liberator ใช้หน้าจออัปเดต Windows ปลอมเพื่อซ่อนการโจรกรรมข้อมูล

กลุ่มกรรโชกข้อมูลใหม่ที่ชื่อว่า Mad Liberator กำลังกำหนดเป้าหมายไปยังผู้ใช้งาน Anydesk และเรียกใช้หน้าจออัปเดต Microsoft Windows ปลอม เพื่อเบี่ยงเบนความสนใจในขณะขโมยข้อมูลจากอุปกรณ์เป้าหมาย

ปฏิบัติการดังกล่าวเริ่มขึ้นในเดือนกรกฎาคม และแม้ว่านักวิจัยที่สังเกตปฏิบัติการดังกล่าวจะไม่พบเหตุการณ์ที่เกี่ยวข้องกับการเข้ารหัสข้อมูล แต่กลุ่มนี้ระบุในเว็บไซต์เผยแพร่ข้อมูลรั่วไหลว่าพวกเขาใช้การเข้ารหัสแบบ AES/RSA เพื่อล็อกไฟล์

การกำหนดเป้าหมายผู้ใช้งาน Anydesk

ในรายงานจากบริษัทด้านความปลอดภัยไซเบอร์ Sophos นักวิจัยระบุว่าการโจมตีของ Mad Liberator เริ่มต้นด้วยการเชื่อมต่อที่ไม่พึงประสงค์ไปยังคอมพิวเตอร์ผ่านแอปพลิเคชันการเข้าถึงระยะไกล AnyDesk ซึ่งเป็นที่นิยมใน IT teams ที่ใช้จัดการระบบในองค์กร

ยังไม่ชัดเจนว่าผู้โจมตีเลือกเป้าหมายอย่างไร แต่หนึ่งในทฤษฎีที่ยังไม่ได้รับการยืนยันคือ Mad Liberator จะลองค้นหา addresses ที่เป็นไปได้ (AnyDesk connection IDs) จนกว่าจะมีคนยอมรับคำขอการเชื่อมต่อ

เมื่อคำขอการเชื่อมต่อได้รับการอนุมัติ ผู้โจมตีจะวางไฟล์ไบนารีชื่อ Microsoft Windows Update ลงในระบบที่ถูกโจมตี ซึ่งจะแสดงหน้าจอ Windows Update ปลอม

วัตถุประสงค์เดียวของวิธีการนี้คือการเบี่ยงเบนความสนใจของเหยื่อในขณะที่ผู้โจมตีใช้เครื่องมือสำหรับการถ่ายโอนไฟล์ของ AnyDesk เพื่อขโมยข้อมูลจากบัญชี OneDrive, Network shares และพื้นที่จัดเก็บข้อมูลในเครื่อง

ในระหว่างการแสดงหน้าจออัปเดตปลอม แป้นพิมพ์ของเหยื่อจะถูกปิดการใช้งาน เพื่อป้องกันการรบกวนกระบวนการขโมยข้อมูล

ในการโจมตีที่ Sophos พบ ใช้เวลาประมาณ 4 ชั่วโมง ซึ่ง Mad Liberator ไม่ได้เข้ารหัสข้อมูลใด ๆ ในขั้นตอนหลังการขโมยข้อมูล

อย่างไรก็ตาม พวกเขายังทิ้งบันทึกเรียกค่าไถ่ใน shared network directories เพื่อให้มั่นใจว่าจะมีคนเห็นข้อความดังกล่าว

Sophos ระบุว่าไม่พบว่า Mad Liberator มีการติดต่อกับเป้าหมายก่อนที่จะมีการขอเชื่อมต่อ AnyDesk และไม่มีการบันทึกความพยายามในการ Phishing ที่สนับสนุนการโจมตีนี้

ในเรื่องกระบวนการข่มขู่เรียกค่าไถ่ของ Mad Liberator ผู้โจมตีจะประกาศบนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลว่า พวกเขาจะติดต่อกับบริษัทที่ถูกเจาะระบบก่อน โดยเสนอที่จะช่วยเหลือให้แก้ไขปัญหาความปลอดภัย และกู้คืนไฟล์ที่เข้ารหัสหากได้รับการตอบสนองความต้องการทางการเงินของพวกเขา

หากบริษัทที่ตกเป็นเหยื่อไม่ตอบสนองภายใน 24 ชั่วโมง ชื่อของบริษัทจะถูกเผยแพร่ใน portal เรียกค่าไถ่ และจะให้เวลา 7 วันในการติดต่อกับผู้โจมตี

หลังจากยื่นคำขาดผ่านไปอีก 5 วันโดยไม่มีการชำระเงินค่าไถ่ ไฟล์ทั้งหมดที่ถูกขโมยจะถูกเผยแพร่ในเว็บไซต์ Mad Liberator ซึ่งปัจจุบันมีรายชื่อเหยื่ออยู่ทั้งหมด 9 ราย

ที่มา : bleepingcomputer