Mad Liberator: una falsa actualización de Windows oculta un robo masivo de datos a plena vista de las víctimas
Un nuevo grupo cambia la paradigma habitual de los extorsionadores.
En julio apareció en el ciberespacio un nuevo grupo de extorsionadores llamado Mad Liberator , que utiliza el programa Anydesk y técnicas de ingeniería social para infiltrarse en los sistemas de las empresas, robar datos y exigir un rescate. Los especialistas de Sophos revelaron los métodos de ataque del grupo en un incidente investigado.
A diferencia de la mayoría de los extorsionadores, Mad Liberator no cifra los archivos, sino que se centra en el robo de información y en amenazar con su filtración. Mad Liberator también mantiene un sitio web donde publica los datos robados si el rescate no ha sido pagado.
Para infiltrarse en los sistemas, Mad Liberator utiliza Anydesk, un programa que se usa frecuentemente en las empresas para la administración remota de computadoras. Las víctimas, sin sospechar el peligro, aceptan las solicitudes de conexión creyendo que provienen del departamento de TI de la organización. Tras obtener acceso al dispositivo, los atacantes inician un falso proceso de actualización de Windows.
Mientras el usuario observa la actualización falsa, los hackers acceden al almacenamiento de OneDrive y a los archivos en el servidor de la empresa. Utilizando la función de transferencia de archivos (FileTransfer) en Anydesk, los atacantes descargan datos confidenciales y, con la herramienta Advanced IP Scanner, intentan explorar otros dispositivos en la red. En el caso investigado, los extorsionadores no encontraron sistemas valiosos y se limitaron a comprometer solo la computadora principal. Después de completar el robo, los hackers dejan una nota de rescate en el dispositivo.
El ataque duró casi 4 horas, al término de las cuales los atacantes finalizaron la falsa actualización y desconectaron la sesión de Anydesk, devolviendo el control del dispositivo a la víctima. Curiosamente, el software malicioso fue ejecutado manualmente, sin reinicio automático, lo que significa que el malware permaneció inactivo en el sistema de la víctima después de que el ataque finalizara.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!