Un nuevo grupo de extorsión de datos, conocido como Mad Liberator, está utilizando tácticas engañosas para robar información de dispositivos comprometidos. Este grupo, que ha comenzado a operar en julio de 2024, se enfoca en usuarios de la aplicación de acceso remoto AnyDesk, utilizando una pantalla falsa de actualización de Windows para distraer a sus víctimas mientras extraen datos valiosos.
Detalles del Ataque
El ataque inicia cuando Mad Liberator se conecta de manera no solicitada a una computadora a través de AnyDesk, una herramienta comúnmente usada en entornos corporativos para la gestión remota de sistemas. Una vez establecida la conexión, los cibercriminales ejecutan un archivo llamado “Microsoft Windows Update” que despliega una pantalla de actualización falsa. Durante este tiempo, se desactiva el teclado de la víctima para evitar cualquier interrupción en el proceso de robo de datos.
Objetivos y Métodos
Mientras la pantalla de actualización distrae al usuario, Mad Liberator utiliza la herramienta de transferencia de archivos de AnyDesk para exfiltrar datos almacenados en cuentas de OneDrive, unidades de red y en el almacenamiento local del dispositivo. Aunque no se ha observado que el grupo cifre los datos después de la exfiltración, dejan notas de rescate en los directorios compartidos de la red para asegurarse de que sus víctimas corporativas se den cuenta de la brecha.
Proceso de Extorsión
El modus operandi de Mad Liberator incluye contactar a las empresas afectadas a través de su portal en la darknet, ofreciendo “ayuda” para solucionar los problemas de seguridad y recuperar los archivos supuestamente cifrados, siempre y cuando se cumplan sus demandas monetarias. Si las empresas no responden dentro de las 24 horas, sus nombres son publicados en el portal de extorsión, dándoles un plazo adicional de siete días para negociar. Si no se realiza el pago, los datos robados se publican en el sitio web del grupo, que actualmente lista nueve víctimas.
Recomendaciones Prácticas
Para protegerse de este tipo de ataques, es crucial que las empresas implementen las siguientes medidas:
- Restricción del uso de aplicaciones de acceso remoto: Limitar y monitorizar el uso de herramientas como AnyDesk, permitiendo solo conexiones autorizadas.
- Entrenamiento en ciberseguridad: Educar a los empleados sobre la importancia de verificar solicitudes de conexión remota y estar alerta ante actividades sospechosas.
- Implementación de políticas de backup robustas: Asegurarse de que los datos críticos estén respaldados de manera regular y almacenados en ubicaciones seguras fuera de la red principal.
Conclusión
El grupo Mad Liberator ha demostrado ser una amenaza sofisticada y persistente. Su capacidad para engañar a los usuarios mediante pantallas falsas de actualización de Windows y su enfoque en la extorsión de datos subraya la importancia de mantenerse alerta y reforzar las defensas de ciberseguridad en las organizaciones.