Ransomware
Sophos X-Ops deckt Details zu den Ransomware-Angriffen durch Mad Liberator auf
Anydesk im Visier
Eine neue Ransomware-Gruppe namens „Mad Liberator“ hat eine Methode entwickelt, um Unternehmensnetzwerke mithilfe der bekannten Remote-Access-Software Anydesk anzugreifen. Das Sophos X-Ops Incident-Response-Team hat die Angriffstechniken dieser Gruppe untersucht und Empfehlungen entwickelt, wie Unternehmen sich schützen können.
Die Gruppe „Mad Liberator“, die erstmals Mitte Juli 2024 in Erscheinung trat, nutzt die beliebte Fernwartungssoftware Anydesk, um in Systeme einzudringen und dort Schaden anzurichten. Anydesk weist jedem Gerät eine eindeutige zehnstellige ID zu, über die eine Verbindung zwischen zwei Geräten hergestellt werden kann. Diese Funktion nutzen die Angreifer aus, indem sie Verbindungsanfragen an potenzielle Opfer senden. Sobald eine Anfrage akzeptiert wird, haben die Angreifer Zugriff auf das System und können bösartige Aktivitäten im Hintergrund ausführen.
Der Ablauf eines Angriffs durch „Mad Liberator“ beginnt mit einer scheinbar harmlosen Anydesk-Verbindungsanfrage. Wird diese akzeptiert, sendet der Angreifer eine Datei an das Zielgerät, die einen gefälschten Windows Update-Bildschirm anzeigt. Während das Opfer glaubt, es handele sich um ein legitimes Update, deaktiviert der Angreifer die Kontrolle über Maus und Tastatur des Benutzers, um unbemerkt im Hintergrund zu agieren. Anschließend durchsucht der Angreifer das OneDrive-Konto des Opfers nach Unternehmensdateien und überträgt diese auf ein anderes System. Schließlich fordert der Angreifer Lösegeld, um die gestohlenen Daten nicht zu veröffentlichen.
Der genaue Mechanismus, wie die Angreifer eine spezifische Anydesk-ID erlangen, bleibt unklar. Zwar könnte man theoretisch alle möglichen Kombinationen der zehnstelligen IDs durchprobieren, doch ist dies bei einer so großen Anzahl von möglichen IDs unwahrscheinlich und ineffizient. Im untersuchten Fall gab es keine Anzeichen dafür, dass das Opfer durch Social Engineering manipuliert wurde. Es gab keine vorherige Kommunikation, keinen Phishing-Versuch und das Opfer war kein prominenter Mitarbeiter.
Sophos X-Ops betont die Bedeutung von kontinuierlichen Schulungen, um Unternehmen vor solchen Angriffen zu schützen. Michael Veit, Cybersecurity-Experte bei Sophos, rät Unternehmen, klare Richtlinien für den Einsatz von Remote-Access-Software wie Anydesk zu entwickeln. Besonders wichtig ist dabei die Nutzung von Zugangskontrolllisten, um sicherzustellen, dass nur autorisierte Geräte Zugriff auf das System erhalten. Dies reduziert das Risiko erheblich, selbst wenn ein Benutzer versehentlich eine Verbindung akzeptiert.
Die Sicherheit bei der Implementierung von Fernzugriffs-Tools wie Anydesk sollte nicht zugunsten der Benutzerfreundlichkeit vernachlässigt werden. Unternehmen sollten die Sicherheitsvorkehrungen des Herstellers sorgfältig prüfen und dokumentieren, wenn sie von diesen abweichen. Dies hilft Administratoren, kontinuierlich die Sicherheit der Verbindungen zu überprüfen und bei Bedarf Gegenmaßnahmen zu ergreifen, um das Risiko für das Unternehmen zu minimieren.
Weitere Sicherheitsmaßnahmen, die Anydesk bietet, sollten ebenfalls in Betracht gezogen werden, um das Unternehmen vor potenziellen Bedrohungen zu schützen. Der vollständige Bericht von Sophos X-Ops mit detaillierten Beschreibungen und Screenshots ist online verfügbar und bietet weiterführende Informationen zu den Angriffen und Schutzmöglichkeiten.