Cada cierto tiempo surgen en el panorama de ciberamenazas nuevos grupos de ransomware. Uno de los últimos en incorporarse al mismo sería Mad Liberator, según revela un informe publicado por la firma de ciberseguridad Sophos.
La creación de este colectivo es bastante reciente. Según la firma, está activo desde julio de 2024.
Estos actores de amenazas se caracterizan por emplear técnicas de ingeniería social para obtener acceso al entorno de la víctima, apuntando específicamente a organizaciones que usan herramientas de acceso remoto, como Anydesk.
Anydesk asigna un ID único de 10 dígitos a cada dispositivo y los usuarios pueden solicitar acceso remoto ingresando este ID o invitar a otros a controlar su dispositivo. No está claro cómo los atacantes seleccionan los ID específicos de Anydesk.
Mad Liberator no se centraría en el cifrado de datos, sino en la exfiltración. Así, ejecuta una pantalla falsa de actualización de Microsoft Windows para ocultar esta.
Los cibermalos se sirven de un malware que imita una pantalla de Windows Update, haciendo que parezca que el sistema se está actualizando. Los atacantes evitan que el usuario salga de la pantalla de actualización falsa presionando la tecla Esc. Para ello, desactivan la entrada del teclado y el mouse del usuario.
Al igual que otros grupos de ransomware Mad Liberator cuenta con su propia web de filtraciones donde comparte su lista de víctimas.
Creen que es una acción de su departamento de TI
“Cuando se recibe una solicitud de conexión de Anydesk, el usuario ve una ventana emergente. El usuario debe autorizar la conexión antes de que se pueda establecer por completo”, puede leerse en el informe publicado por Sophos.
La compañía cita un caso en el que la víctima sabía que Anydesk era utilizado por el departamento de TI de su empresa y asumió que la solicitud de conexión entrante era solo una instancia habitual de este departamento que realizaba tareas de mantenimiento. Por ello, hizo clic en Aceptar.
"Una vez establecida la conexión, el atacante transfirió un binario al dispositivo de la víctima y lo ejecutó. En nuestras investigaciones, este archivo se tituló “Microsoft Windows Update”, explican.
Sophos habla de un ataque que duró casi cuatro horas, con la pantalla de Windows Update impidiendo que la víctima pudiera ver las acciones del atacante. El final del mismo, la falsa pantalla de actualización finalizó, devolviendo el control del dispositivo a la víctima.
La compañía de seguridad resalta que las tácticas de ingeniería social usadas por Mad Liberator "son dignas de mención, pero no son únicas".
Además, no se moja respecto al futuro de este grupo de ransomware y señala simplemente que “los grupos de ransomware surgen y desaparecen constantemente, y Mad Liberator puede resultar ser un actor nuevo e importante, o simplemente otro fenómeno pasajero".