Bei der Ransomware-Gruppe „Mad Liberator“ handelt es sich um einen neuen Bedrohungsakteur, der erstmals Mitte Juli 2024 auf der Bildfläche erschien. Im neuen Report „Don’t get Mad, get wise“ befasst sich Sophos X-Ops mit den Angriffstechniken dieser Gruppe im Zusammenhang mit der Remote-Access-Anwendung Anydesk. Zudem geben die Security-Spezialisten Tipps, wie Unternehmen das Risiko, Opfer dieser Art von Attacken zu werden, minimieren können.
Angriffsmuster
Im aktuellen Fall haben die Angreifer die legitime Software Anydesk missbraucht, im Prinzip könnte aber jedes andere Remote-Access-Programm ebenso für die kriminellen Zwecke von „Mad Liberator“ in die Schusslinie gelangen. Die Fernwartungssoftware weist jedem Gerät, auf dem die Anwendung installiert wird, eine eindeutige ID zu, in diesem Fall eine zehnstellige Adresse. Sobald die Anwendung auf einem Gerät installiert ist, kann ein Benutzer den Zugriff auf ein entferntes Gerät anfordern, um die Kontrolle mit Hilfe der ID zu übernehmen. Wahlweise kann ein Benutzer einen anderen Benutzer einladen, die Kontrolle über sein Gerät zu übernehmen.
Sobald der Angreifer eine Anydesk-Verbindungsanfrage sendet, findet folgender Ablauf statt:
Zum jetzigen Zeitpunkt ist nicht eindeutig geklärt, ob oder wie Angreifer eine bestimmte Anydesk-ID abgreifen. Theoretisch wäre es möglich, die Adressen so lange durchzuspielen, bis ein Rechner eine Verbindungsanfrage annimmt – bei potenziell 10 Milliarden 10-stelligen Nummern erscheint dies jedoch ineffizient. Im Fall, den das Sophos Incident-Response Team untersuchte, wurden keine Hinweise auf einen Kontakt zwischen den Mad-Liberator-Angreifern und dem Opfer identifiziert, bevor das Opfer eine unaufgeforderte Anydesk-Verbindungsanfrage erhielt. Soweit die Ermittler feststellen konnten, war der Angriff nicht mit zusätzlichen Social-Engineering-Maßnahmen der Angreifer verbunden – es wurden keine E-Mail-Kontakte, Phishing-Versuche oder Ähnliches festgestellt. Bei dem Benutzer handelte es sich um keinen prominenten oder öffentlich sichtbaren Mitarbeiter und es gab keinen nachvollziehbaren Grund, warum er gezielt angegriffen werden sollte.
Maßnahmen gegen Angriffe
Beim analysierten „Mad Liberator“-Angriff im Zusammenhang mit Anydesk handelte es sich um eine unkomplizierte Attacke. Das Opfer glaubte, dass die Anydesk-Anfrage zu den alltäglichen Aktivitäten gehört. „Dieser Vorfall unterstreicht einmal mehr die Relevanz und Tragweite von kontinuierlichen Schulungen zu aktuellen Angriffsmustern“, so Michael Veit, Cybersecurity-Experte bei Sophos. „Unternehmen sollten klare Richtlinien festlegen, wie IT-Abteilungen Remote-Sitzungen organisieren und auf jeden Fall
die Anydesk-Zugangskontrolllisten nutzen. Damit ist gewährleistet, dass nur Verbindungen von definierten Geräten zugelassen sind. Unabhängig davon, wie die Angreifer an die Verbindungs-ID kommen oder ob menschliche Fehler passieren, indem eine Verbindung arglos bestätigt wird, kann mit den Zugangskontrolllisten das Risiko stark minimiert werden.“ Zudem bietet AnydeskAnleitungen und Hinweise für weitere Sicherheitsmaßnahmen.
Veit weiter: „Es kann eine schwierige Aufgabe sein, bei der Implementierung von Tools die Sicherheit und Benutzerfreundlichkeit abzuwägen – vor allem wenn diese Tools den Fernzugriff für genau die Personen erleichtern sollen, die mit der Betreuung geschäftskritischer Systeme betraut sind. Es empfiehlt sich daher, dass bei der Implementierung von Fernzugriffsapplikationen die Sicherheitsempfehlungen des Herstellers sorgfältig geprüft werden. Können diese Empfehlungen nicht befolgt werden, sollte diese Entscheidung im Rahmen des Risikomanagementprozesses im Unternehmen dokumentiert sein. Damit können Administratoren kontinuierlich die Verbindungen prüfen oder andere Abhilfemaßnahmen treffen, damit die Risikobereitschaft des Unternehmens innerhalb des gesteckten Rahmens bleibt.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…