Los investigadores de ciberseguridad del equipo de respuesta a incidentes de Sophos X-Ops observaron que los piratas informáticos están implementando una táctica de ingeniería social inusual para obtener acceso a los sistemas de las víctimas y robar datos confidenciales.
El equipo explicó cómo ransomware Un juego en línea llamado Mad Liberator apareció a mediados de julio de 2024 y se centra principalmente en la extracción de datos (en lugar del cifrado del sistema), pero a veces también participa en una doble extorsión (cifrado + robo de datos). También tiene un sitio web de filtración de datos donde amenaza con publicar datos robados a menos que las víctimas paguen.
Lo que distingue a Mad Liberator de otros actores de amenazas es el vector de acceso inicial. Los grupos de hackers suelen recurrir al phishing para entrar, normalmente utilizando correos electrónicos de phishing o servicios de mensajería instantánea. Pero en este caso, parece que “adivinaron” la identificación única de Anydesk.
Abuso de software legítimo
Anydesk es un proyecto Aplicación de escritorio remoto Es utilizado por miles de empresas en todo el mundo. Cada dispositivo en el que está instalado Anydesk obtiene un identificador único, un número de 10 dígitos, al que otros puntos finales pueden “llamar” y así acceder. Curiosamente, un día los atacantes se conectaron a una de las computadoras de la organización víctima, aparentemente sin ninguna interacción previa. Además, la computadora objetivo no pertenece a ningún empleado o gerente de alto nivel.
La víctima asumió que el departamento de TI estaba realizando un mantenimiento de rutina, por lo que aceptó la llamada telefónica sin hacer preguntas.
Esto les dio a los atacantes acceso ininterrumpido, que utilizaron para implementar un archivo binario que a primera vista parecía ser una actualización de Windows. También desactivaron la entrada del teclado por parte de la víctima, para asegurarse de que no descubran el truco al presionar accidentalmente el botón Esc y reducir el volumen del programa en ejecución.
Después de unas horas, los delincuentes pudieron extraer datos confidenciales del dispositivo, conectar servicios en la nube y escanear a qué otros dispositivos conectados podrían cambiar.
Una vez más, “no dar por sentado nada, cuestionarlo todo” demuestra ser la mentalidad adecuada para mantenerse seguro en el lugar de trabajo.