Neue Ransomware-Attacke missbraucht populäres Remote-Access-Programm
Die Ransomware-Gruppe „Mad Liberator“ nutzt Anydesk als Brücke, um in Unternehmensnetzwerke zu gelangen. Folgender Bericht liefert Details zum Angriff und Hinweise für mehr Schutz vor diesen Attacken.
Das Sophos X-Ops Incident-Response-Team hat die Angriffsmethoden der neu aufgetauchten Ransomware-Gruppe „Mad Liberator“ untersucht. Diese Bedrohungsakteure sind erstmals im Juli 2024 in Erscheinung getreten. In ihrem neuen Bericht „Don’t get Mad, get wise“ analysiert Sophos X-Ops, wie die Gruppe die Remote-Access-Anwendung Anydesk für ihre Angriffe nutzt und gibt Unternehmen Tipps zur Risikominimierung.
Angriffsmuster von „Mad Liberator“
Die Angreifer missbrauchen die legitime Software Anydesk, wobei auch andere Remote-Access-Programme potenziell betroffen sein könnten. Anydesk weist jedem Gerät eine eindeutige zehnstellige ID zu, über die Angreifer eine Verbindung anfordern können.
Der Ablauf eines Angriffs ist wie folgt:
- Das Opfer erhält ein Popup zur Autorisierung der Anydesk-Verbindung, was bei Nutzern dieser Software nicht ungewöhnlich erscheint.
- Nach Verbindungsherstellung überträgt der Angreifer eine Binärdatei, die ein Windows Update vortäuscht, und deaktiviert die Eingabe über Tastatur und Maus des Opfers.
- Der Angreifer greift auf das OneDrive-Konto des Opfers zu und exfiltriert Unternehmensdateien über die Anydesk-Dateiübertragungsfunktion.
- Anschließend fordert der Angreifer Lösegeld, um die Veröffentlichung der gestohlenen Daten zu verhindern.
Es ist unklar, wie die Angreifer die Anydesk-IDs erhalten. Theoretisch könnten sie die IDs systematisch durchprobieren, was jedoch ineffizient ist. Im untersuchten Fall gab es keinen vorherigen Kontakt oder Social-Engineering-Maßnahmen wie Phishing-Versuche seitens der Angreifer. Das Opfer war kein prominenter Mitarbeiter, was auf ein zufälliges Ziel hindeutet.
Maßnahmen zur Vermeidung von Angriffen
Der „Mad Liberator“-Angriff, der Anydesk missbraucht, ist relativ einfach, aber effektiv. Das Opfer glaubte, dass die Anydesk-Anfrage zu den alltäglichen Aktivitäten gehörte.
Michael Veit, Cybersecurity-Experte bei Sophos, betont die Bedeutung regelmäßiger Schulungen zu aktuellen Angriffsmethoden: „Unternehmen sollten klare Richtlinien für die Organisation von Remote-Sitzungen durch die IT-Abteilung festlegen und die Anydesk-Zugangskontrolllisten nutzen. Damit wird sichergestellt, dass nur Verbindungen von autorisierten Geräten zugelassen sind.“ Dies minimiert das Risiko, selbst wenn Angreifer die Verbindungs-ID erlangen oder menschliche Fehler passieren.
Anydesk bietet zudem Anleitungen für weitere Sicherheitsmaßnahmen. Veit fügt hinzu: „Es ist oft eine Herausforderung, bei der Implementierung von Tools die Sicherheit und Benutzerfreundlichkeit auszubalancieren – insbesondere bei Tools für den Fernzugriff auf geschäftskritische Systeme. Unternehmen sollten die Sicherheitsempfehlungen des Herstellers sorgfältig prüfen und, falls sie nicht befolgt werden können, diese Entscheidung im Risikomanagementprozess dokumentieren.“ So können Administratoren kontinuierlich Verbindungen prüfen und andere Maßnahmen ergreifen, um die Risiken innerhalb akzeptabler Grenzen zu halten.
Der komplette Bericht „Don’t get Mad, get wise“ mit verschiedenen Screenshots zur Veranschaulichung kann hier nachgelesen werden.