Die Masche: Gefälschte Windows-Updates als Ablenkungsmanöver

Die Hackergruppe "Mad Liberator" hat seit Juli 2023 gezielt AnyDesk-Nutzer im Visier. AnyDesk ist eine beliebte Fernwartungssoftware, die es ermöglicht, von einem entfernten Standort aus auf Computer zuzugreifen. Die Angreifer starten ihre Operationen, indem sie eine unaufgeforderte Verbindung über AnyDesk herstellen. Sobald die Verbindung akzeptiert wird, installieren sie eine Software, die einen gefälschten Microsoft Windows Update-Bildschirm anzeigt.

Während dieses falschen Updates wird die Tastatur des Opfers deaktiviert, um sicherzustellen, dass der Angriff ungestört bleibt. In der Zwischenzeit nutzen die Hacker das Dateitransfer-Tool von AnyDesk, um Daten von OneDrive-Konten, Netzlaufwerken und lokalen Speichern zu stehlen. Der gesamte Angriff dauert in der Regel etwa vier Stunden.

Erpressung und Veröffentlichung gestohlener Daten

Doch die Hacker begnügen sich nicht nur mit dem Datendiebstahl. Nach der Exfiltration hinterlassen sie auf den Netzlaufwerken ihrer Opfer ein Lösegeldschreiben. Darin fordern sie eine Zahlung, um die gestohlenen Daten nicht zu veröffentlichen. Die Täter drohen damit, den Namen der betroffenen Firma auf ihrer Erpressungsseite im Darknet zu veröffentlichen, sollten ihre Forderungen nicht innerhalb von 24 Stunden erfüllt werden. Bleibt die Zahlung auch nach einer Frist von sieben Tagen aus, werden die gestohlenen Daten veröffentlicht.

Derzeit sind neun bestätigte Opfer bekannt, wie "Bleeping Computer" berichtet. Diese Angriffe verdeutlichen die Bedrohung, die von raffinierten Taktiken ausgeht, welche auf ein Vehlferhalten der Mitarbeiter abzielen.

Wie Sie sich schützen können

Angesichts dieser bedrohlichen Entwicklung ist es unerlässlich, proaktive Maßnahmen zu ergreifen, um sich und Ihr Unternehmen vor solchen Angriffen zu schützen. Hier sind einige Schritte, die Sie unternehmen können:

1. Schulung und Sensibilisierung der Mitarbeiter

Stellen Sie sicher, dass Ihre Mitarbeiter über die Risiken solcher Angriffe informiert sind und wissen, wie sie verdächtige Aktivitäten erkennen können. Sensibilisieren Sie Ihr Team dafür, keine unaufgeforderten Verbindungen über Fernwartungssoftware wie AnyDesk zu akzeptieren.

2. Verwendung von Zwei-Faktor-Authentifizierung (2FA)

Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle sensiblen Konten und Systeme. Dies erschwert es Angreifern, Zugang zu Ihren Daten zu erhalten, selbst wenn sie in den Besitz Ihrer Anmeldeinformationen gelangen.

3. Eingeschränkte Zugriffsrechte

Begrenzen Sie den Zugriff auf sensible Daten und Netzlaufwerke. Nur autorisierte Mitarbeiter sollten Zugriff auf kritische Informationen haben, und dieser Zugriff sollte regelmäßig überprüft werden.

4. Regelmäßige Sicherheitsupdates

Stellen Sie sicher, dass alle Systeme regelmäßig aktualisiert werden, um bekannte Schwachstellen zu schließen. Verwenden Sie nur offizielle Update-Mechanismen und seien Sie vorsichtig bei ungewöhnlichen Update-Benachrichtigungen.

5. Kontinuierliche Überwachung und Incident Response

Implementieren Sie kontinuierliche Überwachungsmaßnahmen, um verdächtige Aktivitäten frühzeitig zu erkennen. Entwickeln Sie zudem einen Incident-Response-Plan, um im Falle eines Angriffs schnell und effektiv reagieren zu können.

Fazit

Die perfide Taktik der Hackergruppe "Mad Liberator" zeigt, wie wichtig es ist, wachsam zu bleiben und Sicherheitsvorkehrungen zu treffen. Gefälschte Windows-Updates sind nur eine von vielen Methoden, mit denen Cyberkriminelle versuchen, an sensible Daten zu gelangen. Durch gezielte Schulungen, den Einsatz moderner Sicherheitsmaßnahmen und eine proaktive Überwachung können Unternehmen die Bedrohung durch solche Angriffe erheblich reduzieren und ihre Daten besser schützen.

‍