MÜNCHEN (IT BOLTWISE) – Eine neue Welle von Hacker-Angriffen nutzt gefälschte Windows-Updates, um gezielt Daten von AnyDesk-Nutzern zu stehlen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Eine besonders heimtückische Hacker-Masche zielt derzeit auf Nutzer der Fernwartungssoftware AnyDesk ab. Laut einem aktuellen Bericht von Sophos, der von „Bleeping Computer“ zitiert wird, agiert die Hackergruppe Mad Liberator seit Juli 2023 mit dieser neuen Taktik. Dabei tarnt sich der Angriff als ein gewöhnliches Windows-Update, was es den Angreifern ermöglicht, sensible Daten ihrer Opfer zu stehlen.
Die Operation beginnt mit einer unaufgeforderten Verbindung über AnyDesk. Wie die Angreifer ihre Ziele genau auswählen, bleibt bisher unklar, jedoch wird vermutet, dass sie willkürlich AnyDesk-IDs durchprobieren, bis eine Verbindung zustande kommt. Sobald das Opfer die Verbindung akzeptiert, installieren die Hacker eine Software, die einen täuschend echten Microsoft Windows Update-Bildschirm anzeigt. Während dieses falschen Updates wird die Tastatur des Opfers deaktiviert, um jegliche Störungen zu verhindern.
Hacker stehlen Daten, indem sie normales Windows-Update vortäuschen
Während das Opfer durch den gefälschten Update-Bildschirm abgelenkt ist, nutzen die Hacker das integrierte Dateitransfer-Tool von AnyDesk, um Dateien von OneDrive-Konten, Netzlaufwerken und lokalen Speichern zu exfiltrieren. Sophos berichtete, dass diese Angriffe oft bis zu vier Stunden dauern.
Um ihre Forderungen zu unterstreichen, hinterlassen die Täter in den kompromittierten Netzlaufwerken ein Lösegeldschreiben. Auf ihrer Darknet-Seite erklärt die Gruppe, dass sie die betroffenen Firmen zunächst kontaktiert und ihnen Hilfe bei der Wiederherstellung der Daten anbietet – allerdings nur, wenn die Lösegeldforderungen erfüllt werden. Erfolgt innerhalb von 24 Stunden keine Antwort, veröffentlichen sie den Namen des Unternehmens auf ihrer Erpressungsseite und setzen eine Frist von sieben Tagen. Sollten die Forderungen auch dann nicht erfüllt werden, drohen die Hacker, die gestohlenen Daten nach weiteren fünf Tagen öffentlich zugänglich zu machen.
Aktuell berichtet „Bleeping Computer“ von neun bestätigten Opfern, die bereits in die Falle der Hacker getappt sind.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.