En un artículo titulado “No te enojes, sé inteligente”, Sophos advierte sobre Mad Liberator, un grupo de ransomware nuevo surgido en julio de este año y que utiliza una particular táctica de ingeniería social para lograr acceso al entorno de sus víctimas.
Según detalla la investigación de Sophos, Mad Liberator ataca a sus víctimas empleando herramientas de acceso remoto instaladas en endpoints y servidores, como Anydesk, para solicitar acceso y luego tomar control del dispositivo.
Cómo opera el ransomware de Mad Liberator
En cuanto el atacante envía una solicitud de conexión de Anydesk:
- Las víctimas reciben una ventana emergente solicitando que autoricen la conexión. Para los usuarios cuyas organizaciones utilizan Anydesk, esto podría no parecer inusual.
- Una vez establecida la conexión, el atacante transfiere al dispositivo de la víctima un archivo binario, el cual muestra una pantalla que simula una actualización de Windows; mientras tanto, el atacante desactiva la entrada del teclado y el mouse del usuario, impidiendo que la víctima detenga la actividad del atacante en segundo plano.
- Posteriormente, el atacante accede a la cuenta de OneDrive de la víctima y utiliza la función de transferencia de archivos de Anydesk para robar y extraer archivos de la empresa, antes de escanear otros dispositivos en la misma subred que podrían ser explotados.
- Mientras la víctima no es consciente de esta operación en segundo plano, el atacante envía numerosas notas de rescate anunciando que los datos han sido robados y cómo pagar el rescate para evitar la divulgación de los archivos robados.
La evolución de los ataques de ransomware
“Hemos visto grupos de ransomware aparecer y desaparecer, y esto podría ser lo mismo para Mad Liberator, pero este nuevo modo de explotación de herramientas de acceso remoto es una prueba de una tendencia más amplia en la industria del ransomware”, explica Christopher Budd, Director de investigación de amenazas en Sophos.
“Basándonos en los ataques que investigamos el año pasado, los servicios remotos externos son la técnica número uno de acceso inicial, porque los adversarios confían en que la víctima crea que este comportamiento es parte de la actividad diaria. Como vimos con ScreenConnect, las herramientas de acceso remoto de TI son una herramienta poderosa en manos de los atacantes”, indica.
“Mad Liberator es un ejemplo inusual. Fuera de la solicitud de acceso remoto, los atacantes no tuvieron ningún contacto conocido con las víctimas – ni correos electrónicos ni intentos de phishing – lo que demuestra lo importante que es comunicar el protocolo de acceso remoto al personal y asegurarse de que reciban capacitación regular y actualizada. Los administradores también deberían considerar la implementación de Listas de Control de Acceso, para evitar que los atacantes puedan acceder a sistemas o recursos no autorizados”, añade el ejecutivo.
El artículo completo está disponible en este enlace.