Un nouveau groupe d’extorsion de données suivi sous le nom de Mad Liberator cible Tous les utilisateurs de bureau et exécute un faux écran de mise à jour Microsoft Windows pour distraire tout en exfiltrant les données de l’appareil cible.

L’opération a vu le jour en juillet et bien que les chercheurs observant l’activité n’aient constaté aucun incident impliquant le cryptage des données, le gang note sur son site de fuite de données qu’il utilise des algorithmes AES/RSA pour verrouiller les fichiers.

Page « À propos » de Mad Liberator

Cibler tous les utilisateurs de Bureau
Dans un rapport de la société de cybersécurité Sophos, les chercheurs affirment qu’une attaque Mad Liberator commence par une connexion non sollicitée à un ordinateur utilisant l’application d’accès à distance AnyDesk, qui est populaire parmi les équipes informatiques gérant les environnements d’entreprise.

On ne sait pas comment l’auteur de la menace sélectionne ses cibles, mais une théorie, bien qu’encore à prouver, est que Mad Liberator essaie des adresses potentielles (identifiants de connexion AnyDesk) jusqu’à ce que quelqu’un accepte la demande de connexion.

Demande de connexion sur n’importe quel Bureau

Une fois qu’une demande de connexion est approuvée, les attaquants déposent sur le système compromis un binaire nommé Microsoft Windows Update, qui affiche un faux écran de démarrage de Windows Update.

Faux écran de démarrage de mise à jour Windows

Le seul but de la ruse est de distraire la victime pendant que l’auteur de la menace utilise l’outil de transfert de fichiers de n’importe quel disque pour voler des données des comptes OneDrive, des partages réseau et du stockage local.

Pendant l’écran de fausse mise à jour, le clavier de la victime est désactivé, pour éviter de perturber le processus d’exfiltration.

Dans les attaques vues par Sophos, qui ont duré environ quatre heures, MadLiberator n’a effectué aucun cryptage des données dans la phase post-exfiltration.

Cependant, il a toujours déposé des notes de rançon sur les répertoires réseau partagés pour assurer une visibilité maximale dans les environnements d’entreprise.

Note de rançon déposée sur les appareils piratés

Sophos notes that it has not seen Mad Liberator interact with the target prior to the AnyDesk connection request and has logged no phishing attempts supporting the attack.

Regarding Mad Liberator’s extortion process, the threat actors declare on their darknet site that they first contact breached firms offering to “help” them fix their security issues and recover encrypted files if their monetary demands are met.

If the victimized company does not respond in 24 hours, their name is published on the extortion portal and are given seven days to contact the threat actors.

After another five days since the ultimatum has been issued passed without a ransom payment, all stolen files are published on the Mad Liberator website, which currently lists nine victims.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *