Imagina estar frente a tu computadora y ver una actualización de Windows en progreso, algo tan común que apenas le prestas atención. Sin embargo, detrás de esa pantalla aparentemente inofensiva, un grupo de ciberdelincuentes está robando tus datos sin que te des cuenta. Esto es precisamente lo que está haciendo el nuevo grupo de hackers Mad Liberator que tiene como objetivo a los usuarios de AnyDesk, utilizando su nueva táctica de una actualización falsa de Windows para ocultar sus actividades.
Esta operación, que apareció en julio, no ha mostrado hasta ahora incidentes de cifrado de datos según los investigadores que han monitoreado su actividad. Sin embargo, en su sitio de filtración de datos, el grupo de hackers afirma que emplea algoritmos AES/RSA para bloquear archivos.
Te podrá interesar leer: RansomHub Implementa una Nueva Herramienta para Eliminar EDR
Un informe reciente de ciberseguridad, se revela que el ataque de Mad Liberator se inicia con una conexión no solicitada a una computadora a través de la aplicación de acceso remoto AnyDesk, ampliamente utilizada por equipos de TI en la gestión de entornos corporativos.
Aunque aún no se ha confirmado cómo este grupo selecciona a sus víctimas, se especula que Mad Liberator podría estar probando diversas direcciones (ID de conexión de AnyDesk) hasta que una de ellas acepta la solicitud de conexión. Tras la aprobación de la solicitud de conexión, los atacantes instalan un archivo binario en el sistema comprometido, denominado Microsoft Windows Update, que despliega una pantalla falsa de actualización de Windows.
El objetivo principal de esta táctica es mantener a la víctima distraída mientras los atacantes utilizan la herramienta de transferencia de archivos de AnyDesk para extraer datos de cuentas de OneDrive, recursos compartidos de red y almacenamiento local. Durante la falsa pantalla de actualización, el teclado de la víctima se desactiva para evitar que interfiera con el proceso de robo de datos.
En los ataques observados, Mad Liberator no llevó a cabo el cifrado de datos después de la exfiltración. Sin embargo, dejaron notas de rescate en los directorios de red compartidos, asegurándose de que fueran visibles en los entornos corporativos.
Se ha observado que Mad Liberator no interactúa con la víctima antes de enviar la solicitud de conexión de AnyDesk, y hasta ahora no se han detectado intentos de phishing asociados con estos ataques.
En cuanto a su proceso de extorsión, los atacantes afirman en su sitio de la darknet que primero contactan a las empresas afectadas, ofreciéndoles "ayuda" para resolver sus problemas de seguridad y recuperar archivos cifrados, siempre que se cumplan sus demandas financieras.
Si la empresa no responde en un plazo de 24 horas, su nombre es publicado en el portal de extorsión, dándole un plazo de siete días para comunicarse con los atacantes. Si transcurren cinco días después del ultimátum sin que se pague el rescate, todos los archivos robados se publican en el sitio web de Mad Liberator, donde actualmente figuran nueve víctimas.
Conoce más sobre: Ciberseguridad en el Regreso a Clases
La amenaza de 'Mad Liberator', con su engañosa táctica de usar una falsa pantalla de actualización de Windows para robar datos, nos recuerda lo vital que es estar siempre atentos en materia de ciberseguridad. A medida que los ciberdelincuentes encuentran nuevas formas de infiltrarse en nuestros sistemas, estar bien informado, preparado y utilizar herramientas de seguridad adecuadas se convierte en nuestra mejor defensa.
Además, nunca subestimes la importancia de hacer copias de seguridad regulares y seguras de tus datos. Las copias de seguridad son como un salvavidas en caso de que algo salga mal; con ellas, puedes restaurar tu información y reducir el impacto de cualquier ataque. En TecnetOne entendemos lo crucial que es este aspecto, por eso ponemos a tu disposición TecnetProtect, una solución completa que no solo resguarda tu infraestructura, sino que también protege tus datos con respaldos, asegurando su integridad ante cualquier tipo de amenaza.