• El grupo de ransomware "Mad Liberator" aprovecha los movimientos de ingeniería social a los que hay que prestar atención.

• Esto pone en especial riesgo a aquellas personas que trabajan a distancia.

Sophos, líder mundial en soluciones de seguridad innovadoras para derrotar los ciberataques, comparte detalles de un nuevo grupo de ransomware llamado Mad Liberator en una publicación titulada "No se enoje, sea sabio". El grupo, que apareció por primera vez en julio de 2024, utiliza una táctica de ingeniería social inusual para obtener acceso al entorno de las víctimas.

Una reciente investigación del equipo de Sophos dedicado a la respuesta a incidentes X-Ops, Mad Liberator ataca a las víctimas mediante herramientas de acceso remoto, como Anydesk, instaladas en endpoints y servidores, para solicitar acceso y tomar el control de los dispositivos.

¿Pero qué es Anydesk? Esta es una aplicación de escritorio remoto que permite a los usuarios conectarse y controlar dispositivos a distancia, como computadoras, tablets o smartphones, desde cualquier lugar con una conexión a Internet. Es ampliamente utilizada para brindar soporte técnico, acceder a archivos o programas en otros dispositivos, y colaborar en proyectos en tiempo real, pero sin duda cualquier programa de acceso remoto se adaptaría a los propósitos de esta organización criminal.

Lo inusual de este enfoque es que los investigadores de Sophos X-Ops no encontraron indicios de contacto previo entre el atacante y la víctima antes de que la víctima recibiera una notificación de conexión de Anydesk.

Una vez que el atacante envía una solicitud de conexión de Anydesk:

• Las víctimas reciben una ventana emergente que les pide que autoricen la conexión. Para los usuarios cuyas organizaciones utilizan Anydesk, esto puede parecer algo totalmente normal.

• Una vez que se establece una conexión, el atacante transfiere un archivo binario al dispositivo de la víctima. Este archivo muestra una pantalla que imita una actualización de Windows; mientras tanto, el atacante deshabilita las funciones del teclado y del mouse del usuario, quien ya sin el control del equipo no puede detener la actividad. Además, en ocasiones el usuario ni siquiera se percata de esta acción ya que los atacantes actúan en segundo plano.

• Luego, el atacante accede a la cuenta OneDrive de la víctima y utiliza la función Anydesk FileTransfer para robar y exfiltrar archivos de la empresa, antes de buscar otros dispositivos en la misma subred que puedan ser explotados

• Si bien la víctima no es consciente de esta operación en segundo plano, el atacante comparte numerosas notas de rescate en las que anuncia que los datos han sido robados y cómo pagar el rescate para evitar la divulgación de los archivos robados.

¿Qué hacer para protegerse?

Para evitar convertirse en una víctima del grupo de ciberdelincuentes Mad Liberator u otros ataques similares, Sophos recomienda seguir estos pasos:

1. Desconfía de solicitudes de acceso remoto no solicitadas: no acepte conexiones de herramientas como Anydesk si este enlace no ha sido programado previamente.

2. Revisa las políticas de seguridad de su organización: asegúrate de que solo personal autorizado pueda acceder a herramientas de acceso remoto.

3. Mantén tu software actualizado: las actualizaciones regulares pueden eliminar brechas de seguridad, evitando que los atacantes las exploten.

4. Utiliza soluciones de seguridad avanzadas: herramientas como las que ofrece Sophos pueden detectar y neutralizar amenazas antes de que causen daño.