새로운 데이터 강탈 그룹인 Mad Liberator가 AnyDesk 사용자를 대상으로 활동하고 있으며, 가짜 Microsoft Windows 업데이트 화면을 통해 피해자의 데이터를 도출하는 방식을 사용하고 있습니다. 이 그룹은 지난 7월 처음 발견되었으며, AES/RSA 알고리즘을 사용해 파일을 잠그는 방식을 사용한다고 그들의 데이터 유출 사이트에 기재되어 있습니다. Mad Liberator의 공격은 AnyDesk 원격 접속 애플리케이션을 통해 컴퓨터에 무단 접속하는 것으로 시작되며, 이 애플리케이션은 기업 환경을 관리하는 IT 팀들 사이에서 인기가 있습니다.
Mad Liberator는 접속 요청이 승인되면, 가짜 Windows 업데이트 화면을 보여주는 바이너리를 시스템에 설치합니다. 이 가짜 업데이트 화면의 목적은 피해자를 혼란스럽게 만들어 AnyDesk의 파일 전송 도구를 사용해 OneDrive 계정, 네트워크 공유, 로컬 저장소에서 데이터를 도난하는 것입니다. 또한 가짜 업데이트 화면이 표시되는 동안 피해자의 키보드는 비활성화되어, 데이터 도출 과정을 방해하지 않도록 합니다.
Sophos에 따르면, Mad Liberator는 공격 전에 피해자와의 상호작용을 하지 않으며, 이 공격을 지원하는 피싱 시도도 기록되지 않았습니다. Mad Liberator의 강탈 과정에 대해, 이들은 다크넷 사이트에서 보안 문제를 해결하고 암호화된 파일을 복구하는 데 "도움"을 주겠다고 제안하며, 그 대가로 돈을 요구합니다. 만약 피해 회사가 24시간 내에 응답하지 않으면, 그들의 이름은 강탈 포털에 공개되고, 7일 내에 위협 행위자에게 연락하도록 요구됩니다. 추가로 5일이 지나도록 몸값을 지불하지 않자, 탈취된 모든 파일은 Mad Liberator 웹사이트에 공개되었으며, 현재 9명의 피해자가 등록되어 있습니다.
요약
- 새로운 데이터 강탈 그룹 Mad Liberator가 AnyDesk 사용자를 대상으로 활동하고 있으며, 가짜 Windows 업데이트 화면을 통해 데이터를 도출하는 방식을 사용한다.
- Mad Liberator는 접속 요청이 승인되면, 가짜 Windows 업데이트 화면을 보여주는 바이너리를 시스템에 설치하며, 이를 통해 피해자를 혼란스럽게 만들어 데이터를 도난한다.
- Mad Liberator는 보안 문제를 해결하고 암호화된 파일을 복구하는 "도움"을 제공하며, 그 대가로 돈을 요구한다. 응답이 없을 경우 피해 회사의 이름을 공개하고, 랜섬을 지불하지 않으면 도난된 파일을 공개한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.