Исследователи из команды реагирования на инциденты Sophos X-Ops определили тактику группы вымогателей под названием Mad Liberator, появившейся в середине июля 2024 года. Mad Liberator специализируется на утечке данных и использует сайт для публикации информации о жертвах, вынуждая их платить.
Mad Liberator
Для получения доступа группа использует методы социальной инженерии, нацеливаясь на жертв, использующих приложение для удаленного доступа Anydesk, которое является легитимным программным обеспечением. Злоумышленники используют Anydesk для отправки незапрошенных запросов на подключение, а затем передают на устройство жертвы двоичный файл, замаскированный под обновление Windows. Двоичный файл представляет собой простую программу, которая отображает заставку обновления Windows, в то время как злоумышленники используют Anydesk для отключения пользовательского ввода и утечки файлов с устройства жертвы и сетевого ресурса. Кульминацией атаки становится создание записок с требованием выкупа, чтобы предотвратить раскрытие похищенных файлов.
Indicators of Compromise
SHA256
- f4b9207ab2ea98774819892f11b412cb63f4e7fb4008ca9f9a59abc2440056fe
