信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/胡金魚。

近日，一個(gè)名為Mad Liberator的新數(shù)據(jù)勒索團(tuán)伙瞄準(zhǔn)了AnyDesk用戶，并運(yùn)行虛假的Microsoft Windows更新屏幕來分散注意力，同時(shí)從目標(biāo)設(shè)備竊取數(shù)據(jù)。

該行動(dòng)于7月開始出現(xiàn)，雖然觀察該活動(dòng)的研究人員沒有發(fā)現(xiàn)任何涉及數(shù)據(jù)加密的事件，但該團(tuán)伙在其數(shù)據(jù)泄露網(wǎng)站上指出，他們使用AES/RSA算法來鎖定文件。

Mad Liberator“關(guān)于”頁面

針對(duì)AnyDesk用戶

在網(wǎng)絡(luò)安全公司Sophos的一份報(bào)告中，研究人員表示，Mad Liberator攻擊始于使用AnyDesk遠(yuǎn)程訪問應(yīng)用程序與計(jì)算機(jī)進(jìn)行未經(jīng)請(qǐng)求的連接，該應(yīng)用程序在管理公司環(huán)境的IT團(tuán)隊(duì)中很受歡迎。

目前尚不清楚威脅者如何選擇其目標(biāo)，但有一種理論是，Mad Liberator會(huì)嘗試潛在的地址（AnyDesk連接ID），直到有人接受連接請(qǐng)求，但該說法尚未證實(shí)。

AnyDesk上的連接請(qǐng)求

一旦連接請(qǐng)求被批準(zhǔn)，攻擊者就會(huì)在受感染的系統(tǒng)上放置一個(gè)名為Microsoft Windows Update的二進(jìn)制文件，該二進(jìn)制文件會(huì)顯示一個(gè)虛假的Windows Update啟動(dòng)畫面。

偽造的Windows更新啟動(dòng)畫面

該詭計(jì)的唯一目的是分散受害者的注意力，同時(shí)威脅者使用AnyDesk的文件傳輸工具從OneDrive帳戶、網(wǎng)絡(luò)共享和本地存儲(chǔ)中竊取數(shù)據(jù)。在虛假更新屏幕期間，受害者的鍵盤被禁用，以防止破壞數(shù)據(jù)泄露過程。

安全研究人員發(fā)現(xiàn)，Mad Liberator的攻擊持續(xù)了大約四個(gè)小時(shí)，在數(shù)據(jù)泄露后階段，它沒有進(jìn)行任何數(shù)據(jù)加密。但它仍然在共享網(wǎng)絡(luò)目錄上留下勒索信，以確保在企業(yè)環(huán)境中獲得最大程度的可見性。

被入侵的設(shè)備被泄露勒索信

安全研究人員指出，在AnyDesk連接請(qǐng)求之前，它沒有看到Mad Liberator與目標(biāo)互動(dòng)，也沒有記錄任何支持攻擊的網(wǎng)絡(luò)釣魚嘗試。

關(guān)于Mad Liberator的勒索過程，威脅者在其暗網(wǎng)上聲明，他們首先聯(lián)系被入侵的公司，并表示如果滿足他們的金錢要求，他們就會(huì)“幫助”他們修復(fù)安全問題并恢復(fù)加密文件。

如果受害公司在24小時(shí)內(nèi)沒有回應(yīng)，他們的名字就會(huì)被公布在勒索門戶網(wǎng)站上，并有七天的時(shí)間聯(lián)系威脅者。

在發(fā)出最后通牒后的五天內(nèi)，如果受害者沒有支付贖金，所有被盜文件都會(huì)被公布在Mad Liberator網(wǎng)站上，目前該網(wǎng)站已列出了九名受害者。