Die Ransomware-Gruppe „Mad Liberator“ nutzt Social-Engineering-Methoden, um mit Fernwartungssoftware Opfer zu erpressen. | Mad Liberator ransomware group uses social engineering to extort victims with remote control software. |
Das Sophos X-Ops Incident-Response-Team hat die Taktiken der Ransomware-Gruppe „Mad Liberator“ untersucht. Bei dieser Gruppe handelt es sich um eine neue Hackerbande, die erstmals Mitte Juli 2024 auf der Bildfläche erschien.
Anydesk ist eine legitime Software, die von den Angreifern in dieser Situation missbraucht wird, aber wahrscheinlich wäre jedes Fernzugriffsprogramm für ihre Zwecke geeignet. Mad Liberator verwendet Social-Engineering-Techniken, um sich Zugang zur Umgebung zu verschaffen, und zielt auf Opfer ab, die auf Endgeräten und Servern installierte Fernzugriffstools verwenden. Anydesk wird beispielsweise häufig von IT-Teams zur Verwaltung ihrer Umgebung verwendet, insbesondere wenn sie mit Remote-Benutzern oder -Geräten arbeiten. Die Fernwartungssoftware weist jedem Gerät, auf dem die Anwendung installiert wird, eine eindeutige ID zu, in diesem Fall eine zehnstellige Adresse. Sobald die Anwendung auf einem Gerät installiert ist, kann ein Benutzer den Zugriff auf ein entferntes Gerät anfordern, um die Kontrolle mit Hilfe der ID zu übernehmen. Wahlweise kann ein Benutzer einen anderen Benutzer einladen, die Kontrolle über sein Gerät zu übernehmen. Wie es für Bedrohungsakteure, die Daten exfiltrieren, typisch ist, betreibt Mad Liberator eine Leak-Website. Auf dieser Site werden Details über die Opfer veröffentlicht, um sie unter Druck zu setzen, zu zahlen. Auf der Website wird behauptet, dass die Dateien „kostenlos“ heruntergeladen werden können. Sobald der Angreifer eine Anydesk-Verbindungsanfrage sendet, findet folgender Ablauf statt:
Zum jetzigen Zeitpunkt ist nicht eindeutig geklärt, ob oder wie Angreifer eine bestimmte Anydesk-ID abgreifen. Theoretisch wäre es möglich, die Adressen so lange durchzuspielen, bis ein Rechner eine Verbindungsanfrage annimmt – bei potenziell 10 Milliarden 10-stelligen Nummern erscheint dies jedoch ineffizient. In dem Fall, den das Sophos Incident-Response Team untersuchte, wurden keine Hinweise auf einen Kontakt zwischen den Mad-Liberator-Angreifern und dem Opfer identifiziert, bevor das Opfer eine unaufgeforderte Anydesk-Verbindungsanfrage erhielt. Soweit die Ermittler feststellen konnten, war der Angriff nicht mit zusätzlichen Social-Engineering-Maßnahmen der Angreifer verbunden – es wurden keine E-Mail-Kontakte, Phishing-Versuche oder Ähnliches festgestellt. Bei dem Benutzer handelte es sich um keinen prominenten oder öffentlich sichtbaren Mitarbeiter und es gab keinen nachvollziehbaren Grund, warum er gezielt angegriffen werden sollte. Maßnahmen, um diese Angriffe zu vermeiden Beim analysierten „Mad Liberator“-Angriff im Zusammenhang mit Anydesk handelte es sich um eine unkomplizierte Attacke. Das Opfer glaubte, dass die Anydesk-Anfrage zu den alltäglichen Aktivitäten gehört. „Dieser Vorfall unterstreicht einmal mehr die Relevanz und Tragweite von kontinuierlichen Schulungen zu aktuellen Angriffsmustern“, so Michael Veit, Cybersecurity-Experte bei Sophos. „Unternehmen sollten klare Richtlinien festlegen, wie IT-Abteilungen Remote-Sitzungen organisieren und auf jeden Fall die Anydesk-Zugangskontrolllisten nutzen. Damit ist gewährleistet, dass nur Verbindungen von definierten Geräten zugelassen sind. Unabhängig davon, wie die Angreifer an die Verbindungs-ID kommen oder ob menschliche Fehler passieren, indem eine Verbindung arglos bestätigt wird, kann mit den Zugangskontrolllisten das Risiko stark minimiert werden.“ Zudem bietet Anydesk Anleitungen und Hinweise für weitere Sicherheitsmaßnahmen. Veit weiter: „Es kann eine schwierige Aufgabe sein, bei der Implementierung von Tools die Sicherheit und Benutzerfreundlichkeit abzuwägen – vor allem wenn diese Tools den Fernzugriff für genau die Personen erleichtern sollen, die mit der Betreuung geschäftskritischer Systeme betraut sind. Es empfiehlt sich daher, dass bei der Implementierung von Fernzugriffsapplikationen die Sicherheitsempfehlungen des Herstellers sorgfältig geprüft werden. Können diese Empfehlungen nicht befolgt werden, sollte diese Entscheidung im Rahmen des Risikomanagementprozesses im Unternehmen dokumentiert sein. Damit können Administratoren kontinuierlich die Verbindungen prüfen oder andere Abhilfemaßnahmen treffen, damit die Risikobereitschaft des Unternehmens innerhalb des gesteckten Rahmens bleibt.“ |
The Sophos X-Ops incident response team has been investigating the tactics of the Mad Liberator ransomware group. This group is a new hacker gang that first appeared on the scene in mid-July 2024.
Anydesk is a legitimate software misused by the attackers in this situation, but probably any remote access program would be suitable for their purposes. Mad Liberator uses social engineering techniques to gain access to the environment and targets victims using remote access tools installed on endpoints and servers. For example, Anydesk is often used by IT teams to manage their environment, especially when working with remote users or devices. The remote management software assigns a unique ID, in this case a ten-digit address, to each device on which the application is installed. Once the application is installed on a device, a user can use the ID to request access to a remote device to take control. Alternatively, a user can invite another user to take control of their device. As is typical for threat actors who exfiltrate data, Mad Liberator operates a leak website. This site publishes details of victims in an attempt to pressure them into paying up. The website claims that the files can be downloaded „for free“. Once the attacker sends an Anydesk connection request, the following process takes place: – The victim receives a pop-up window asking them to authorize the connection. For users whose organizations use Anydesk, this may not seem unusual – Once connected, the attacker transfers a binary file to the victim’s device. This file displays a screen that mimics a Windows update; meanwhile, the attacker disables the user’s keyboard and mouse input so that the user is unaware of (and unable to stop) the activity the attacker is performing in the background. – The attacker then accesses the victim’s OneDrive account and uses the Anydesk FileTransfer feature to exfiltrate corporate files before searching for other devices on the same subnet to exploit. – While the victim is unaware of this background operation, the attacker then activates a series of ransom demands on the compromised machine, announcing that the data has been stolen and that the ransom must be paid to prevent the release of the stolen files. At this point, it is not clear if or how the attackers are hijacking a specific Anydesk ID. In theory, it would be possible to cycle through the addresses until a computer accepted a connection request – but with potentially 10 billion 10-digit numbers, this seems inefficient. In the case investigated by the Sophos Incident Response Team, there was no evidence of contact between the Mad Liberator attackers and the victim prior to the victim receiving an unsolicited Anydesk connection request. As far as the investigators could determine, the attack did not involve any additional social engineering by the attackers – no email contacts, phishing attempts or the like were detected. The user was not a prominent or publicly visible employee, and there was no clear reason why they would be targeted. Measures to prevent these attacks The „Mad Liberator“ attack analyzed in the context of Anydesk was a simple attack. The victim believed that the Anydesk request was part of everyday activities. „This incident once again highlights the relevance and importance of ongoing training on current attack patterns,“ said Graham Cluley, senior technology consultant for Sophos Anti-Virus. „Companies should set clear guidelines on how IT departments organise remote sessions and ensure that Anydesk access control lists are used. This will ensure that only connections from defined devices are allowed. Anydesk also provides instructions and tips for additional security measures. Veit continues: „It can be a difficult task to balance security and ease of use when implementing tools – especially when those tools are designed to facilitate remote access for the very people tasked with maintaining business-critical systems. It is therefore advisable to carefully review the vendor’s security recommendations when implementing remote access applications. If these recommendations cannot be followed, this decision should be documented as part of the organization’s risk management process. This will allow administrators to continually review connections or take other remedial action to ensure that the organization’s risk appetite remains within the established framework.” |
Arne Lehfeldt, Systems Engineer und CTO Ambassador bei Dell Technologies, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen keine Angst vor KI haben sollten. | Arne Lehfeldt, Systems Engineer and CTO Ambassador at Dell Technologies, explains why companies shouldn’t be afraid of AI in the Security, Storage and Channel Germany podcast with Carolina Heyder. |

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de