Home » News » Cybersecurity » Neue Ransomware-Attacke missbraucht populäres Remote-Access-Programm

Neue Ransomware-Attacke missbraucht populäres Remote-Access-Programm

Die Ransomware-Gruppe „Mad Liberator“ nutzt Anydesk als Brücke, um in Unternehmensnetzwerke zu gelangen. Folgender Bericht liefert Details zum Angriff und Hinweise für mehr Schutz vor diesen Attacken.

2 Min. Lesezeit
Ransomware-Angriff
Foto: ©AdobeStock/anaumenko

Das Sophos X-Ops Incident-Response-Team hat die Angriffsmethoden der neu aufgetauchten Ransomware-Gruppe „Mad Liberator“ untersucht. Diese Bedrohungsakteure sind erstmals im Juli 2024 in Erscheinung getreten. In ihrem neuen Bericht „Don’t get Mad, get wise“ analysiert Sophos X-Ops, wie die Gruppe die Remote-Access-Anwendung Anydesk für ihre Angriffe nutzt und gibt Unternehmen Tipps zur Risikominimierung.

Angriffsmuster von „Mad Liberator“

Die Angreifer missbrauchen die legitime Software Anydesk, wobei auch andere Remote-Access-Programme potenziell betroffen sein könnten. Anydesk weist jedem Gerät eine eindeutige zehnstellige ID zu, über die Angreifer eine Verbindung anfordern können.

Der Ablauf eines Angriffs ist wie folgt:

  1. Das Opfer erhält ein Popup zur Autorisierung der Anydesk-Verbindung, was bei Nutzern dieser Software nicht ungewöhnlich erscheint.
  2. Nach Verbindungsherstellung überträgt der Angreifer eine Binärdatei, die ein Windows Update vortäuscht, und deaktiviert die Eingabe über Tastatur und Maus des Opfers.
  3. Der Angreifer greift auf das OneDrive-Konto des Opfers zu und exfiltriert Unternehmensdateien über die Anydesk-Dateiübertragungsfunktion.
  4. Anschließend fordert der Angreifer Lösegeld, um die Veröffentlichung der gestohlenen Daten zu verhindern.

Es ist unklar, wie die Angreifer die Anydesk-IDs erhalten. Theoretisch könnten sie die IDs systematisch durchprobieren, was jedoch ineffizient ist. Im untersuchten Fall gab es keinen vorherigen Kontakt oder Social-Engineering-Maßnahmen wie Phishing-Versuche seitens der Angreifer. Das Opfer war kein prominenter Mitarbeiter, was auf ein zufälliges Ziel hindeutet.

Maßnahmen zur Vermeidung von Angriffen

Der „Mad Liberator“-Angriff, der Anydesk missbraucht, ist relativ einfach, aber effektiv. Das Opfer glaubte, dass die Anydesk-Anfrage zu den alltäglichen Aktivitäten gehörte.

Michael Veit, Cybersecurity-Experte bei Sophos, betont die Bedeutung regelmäßiger Schulungen zu aktuellen Angriffsmethoden: „Unternehmen sollten klare Richtlinien für die Organisation von Remote-Sitzungen durch die IT-Abteilung festlegen und die Anydesk-Zugangskontrolllisten nutzen. Damit wird sichergestellt, dass nur Verbindungen von autorisierten Geräten zugelassen sind.“ Dies minimiert das Risiko, selbst wenn Angreifer die Verbindungs-ID erlangen oder menschliche Fehler passieren.

Anydesk bietet zudem Anleitungen für weitere Sicherheitsmaßnahmen. Veit fügt hinzu: „Es ist oft eine Herausforderung, bei der Implementierung von Tools die Sicherheit und Benutzerfreundlichkeit auszubalancieren – insbesondere bei Tools für den Fernzugriff auf geschäftskritische Systeme. Unternehmen sollten die Sicherheitsempfehlungen des Herstellers sorgfältig prüfen und, falls sie nicht befolgt werden können, diese Entscheidung im Risikomanagementprozess dokumentieren.“ So können Administratoren kontinuierlich Verbindungen prüfen und andere Maßnahmen ergreifen, um die Risiken innerhalb akzeptabler Grenzen zu halten.

Der komplette Bericht „Don’t get Mad, get wise“ mit verschiedenen Screenshots zur Veranschaulichung kann hier nachgelesen werden.

Andere interessante News

Gefahr im Rechenzentrum

Rekonvaleszenz nach einem Ransomware-Angriff langwierig

Die Dauer eines Ransomware-Angriffs und die anschließende Wiederherstellung variieren stark. Das liegt zum Teil daran, dass es keine einheitliche Quelle für alle Informationen gibt...

Warnung vor Ransomware

Real-Time-Detection als Joker im Kampf gegen Ransomware

Bei Ransomware-Angriffen ist oft nur eine geringe Datenmenge betroffen, im Durchschnitt 183 GB. Angreifer zielen jedoch auf wertvolle Daten wie personenbezogene Informationen oder ...

Mann vor gehacktem Rechner

Umfrage: Zu viele Unternehmen noch schlecht auf raffinierte Cyber-Angriffe vorbereitet

Eine aktuelle Umfrage zeigt, dass IT- und Unternehmensführungen oft zögerlich bei der Umsetzung wirksamer Maßnahmen gegen eskalierende Cyber-Bedrohungen sind. Mangels Unterstützung...