Falsche Windows-Updates: Fiese Hacker-Masche führt zu Datendiebstahl
Cyberkriminelle nutzen eine ausgeklügelte Masche, um arglose Nutzer zu täuschen: Ein gefälschtes Windows-Update-Fenster dient dabei als Tarnung für Datendiebstahl. Die Sicherheitsforscher von Sophos warnen vor dieser Gefahr und erklären, wie man sich schützen kann.
Sophos, ein renommiertes Cybersecurity-Unternehmen, warnt vor dieser gefährlichen Entwicklung, die seit Mitte Juli 2024 beobachtet wird. Die neue Hackergruppe "Mad Liberator" setzt dabei auf AnyDesk als Einfallstor - davor warnen Experten schon seit Monaten. Das BSI hatte bereits im Februar eine Warnung herausgegeben, nachdem AnyDesk bestätigt hatte, gehackt worden zu sein.
Sobald eine Verbindung hergestellt ist, spielen die Angreifer ein Programm auf den Zielrechner, das ein scheinbar harmloses Windows-Update-Fenster anzeigt.
Ein gefälschtes Windows-Update-Fenster dient Hackern als Tarnung für den Datendiebstahl
Besonders tückisch: Während des vorgetäuschten Updates wird die Tastatur des Opfers deaktiviert.
So können die Anwender nicht eingreifen, selbst wenn sie Verdacht schöpfen. Die Cyberkriminellen nutzen diese Zeit, um über AnyDesks Dateitransfer-Tool gezielt sensible Informationen zu entwenden. Im Fokus stehen dabei OneDrive-Konten, Netzwerkfreigaben und lokale Speicher. Der gesamte Angriff kann bis zu vier Stunden dauern, ohne dass das Opfer etwas davon mitbekommt.
Website von Mad Liberator
Diese Vorgehensweise erinnert an eine ähnliche Taktik, die bereits im Sommer 2023 beobachtet wurde. Damals tarnte sich die Ransomware "Big Head" ebenfalls als Windows-Update, um unbemerkt Daten zu verschlüsseln. Die Parallelen zeigen, wie Cyberkriminelle ihre Methoden stetig verfeinern und an bekannte, vertrauenswürdige Prozesse anpassen.
Die "Mad Liberator"-Gruppe geht nach bisherigen Erkenntnissen noch einen Schritt weiter. Nach dem Datendiebstahl hinterlassen sie Erpressernachrichten in den Netzwerkverzeichnissen der Opfer. Ihre Strategie: Zunächst bieten sie an, die Sicherheitslücken zu "beheben" - natürlich gegen Bezahlung. Reagiert das Unternehmen nicht innerhalb von 24 Stunden, wird der Name auf einem Darknet-Portal veröffentlicht.
Nach weiteren sieben Tagen droht die vollständige Veröffentlichung aller gestohlenen Daten.
Besonders beunruhigend ist die Tatsache, dass die Angreifer offenbar wahllos vorgehen. Sie versuchen, sich mit zufälligen AnyDesk-Verbindungs-IDs zu verbinden, bis jemand den Zugriff akzeptiert. Dies unterstreicht die Wichtigkeit, bei unerwarteten Verbindungsanfragen äußerst vorsichtig zu sein. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
Für Unternehmen empfiehlt sich eine mehrstufige Sicherheitsstrategie:
Sophos empfiehlt Administratoren zudem, die Zugriffssteuerungslisten (Access Control Lists) von AnyDesk zu nutzen, um Verbindungen nur von spezifischen Geräten zuzulassen. Dies kann das Risiko solcher Angriffe erheblich minimieren.
Eine gute Schulung der Mitarbeiter und klare Richtlinien für den Umgang mit Fernwartungstools sind entscheidend, um solche Angriffe zu verhindern.
Was haltet ihr von dieser neuen Hacker-Taktik? Habt ihr in eurem Arbeitsumfeld schon einmal verdächtige "Windows-Updates" oder unerwartete Fernwartungsanfragen erlebt? Teilt eure Erfahrungen und Tipps in den Kommentaren - eure Einblicke könnten anderen helfen, sich besser zu schützen!
Siehe auch:
Hackergruppe "Mad Liberator" treibt ihr Unwesen
Eine neue Bedrohung macht sich breit: Die Hackergruppe "Mad Liberator" nutzt eine perfide Taktik, um unbemerkt Daten zu stehlen. Dabei setzen die Kriminellen auf ein täuschend echt aussehendes Windows-Update-Fenster, um ihre Aktivitäten zu verschleiern.Sophos, ein renommiertes Cybersecurity-Unternehmen, warnt vor dieser gefährlichen Entwicklung, die seit Mitte Juli 2024 beobachtet wird. Die neue Hackergruppe "Mad Liberator" setzt dabei auf AnyDesk als Einfallstor - davor warnen Experten schon seit Monaten. Das BSI hatte bereits im Februar eine Warnung herausgegeben, nachdem AnyDesk bestätigt hatte, gehackt worden zu sein.
Angreifer starten eine Verbindung
Die Masche der Hacker ist ebenso simpel wie effektiv. Sie zielen auf Nutzer der beliebten Fernwartungssoftware AnyDesk ab, die häufig in Unternehmen zum Einsatz kommt. Die Angreifer versuchen, sich mit zufälligen AnyDesk-Verbindungs-IDs zu verbinden, bis ein ahnungsloser Nutzer den Zugriff akzeptiert.Sobald eine Verbindung hergestellt ist, spielen die Angreifer ein Programm auf den Zielrechner, das ein scheinbar harmloses Windows-Update-Fenster anzeigt.
Ein gefälschtes Windows-Update-Fenster dient Hackern als Tarnung für den Datendiebstahl
Besonders tückisch: Während des vorgetäuschten Updates wird die Tastatur des Opfers deaktiviert.
So können die Anwender nicht eingreifen, selbst wenn sie Verdacht schöpfen. Die Cyberkriminellen nutzen diese Zeit, um über AnyDesks Dateitransfer-Tool gezielt sensible Informationen zu entwenden. Im Fokus stehen dabei OneDrive-Konten, Netzwerkfreigaben und lokale Speicher. Der gesamte Angriff kann bis zu vier Stunden dauern, ohne dass das Opfer etwas davon mitbekommt.
Website von Mad Liberator
Diese Vorgehensweise erinnert an eine ähnliche Taktik, die bereits im Sommer 2023 beobachtet wurde. Damals tarnte sich die Ransomware "Big Head" ebenfalls als Windows-Update, um unbemerkt Daten zu verschlüsseln. Die Parallelen zeigen, wie Cyberkriminelle ihre Methoden stetig verfeinern und an bekannte, vertrauenswürdige Prozesse anpassen.
Die "Mad Liberator"-Gruppe geht nach bisherigen Erkenntnissen noch einen Schritt weiter. Nach dem Datendiebstahl hinterlassen sie Erpressernachrichten in den Netzwerkverzeichnissen der Opfer. Ihre Strategie: Zunächst bieten sie an, die Sicherheitslücken zu "beheben" - natürlich gegen Bezahlung. Reagiert das Unternehmen nicht innerhalb von 24 Stunden, wird der Name auf einem Darknet-Portal veröffentlicht.
Nach weiteren sieben Tagen droht die vollständige Veröffentlichung aller gestohlenen Daten.
Besonders beunruhigend ist die Tatsache, dass die Angreifer offenbar wahllos vorgehen. Sie versuchen, sich mit zufälligen AnyDesk-Verbindungs-IDs zu verbinden, bis jemand den Zugriff akzeptiert. Dies unterstreicht die Wichtigkeit, bei unerwarteten Verbindungsanfragen äußerst vorsichtig zu sein. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
Wie können sich Nutzer vor solchen Angriffen schützen?
Experten raten zu erhöhter Wachsamkeit bei unerwarteten Systemaktualisierungen. Windows-Updates sollten in der Regel nur über die offiziellen Kanäle von Microsoft erfolgen. Zudem ist es ratsam, bei Fernwartungssoftware wie AnyDesk besondere Vorsicht walten zu lassen und unbekannte Verbindungsanfragen grundsätzlich abzulehnen.Für Unternehmen empfiehlt sich eine mehrstufige Sicherheitsstrategie:
- Regelmäßige Schulungen der Mitarbeiter zur Erkennung von Phishing und Social-Engineering-Taktiken
- Implementierung strenger Zugriffskontrollen für Fernwartungstools
- Einsatz aktueller Sicherheitssoftware und regelmäßige System-Updates
- Erstellung und Pflege von Offline-Backups kritischer Daten
- Entwicklung und Erprobung von Notfallplänen für den Fall eines Cyberangriffs
Sophos empfiehlt Administratoren zudem, die Zugriffssteuerungslisten (Access Control Lists) von AnyDesk zu nutzen, um Verbindungen nur von spezifischen Geräten zuzulassen. Dies kann das Risiko solcher Angriffe erheblich minimieren.
So verrät sich "Mad Liberator":
Es gibt einige Anhaltspunkte, um mögliche "Mad Liberator"-Aktivitäten zu erkennen. Wichtige Logdateien befinden sich unter C:\ProgramData\AnyDesk\ und C:\Users\%\AppData\Roaming\AnyDesk\. Diese enthalten detaillierte Informationen über Verbindungen, Dateitransfers und andere verdächtige Aktivitäten.
Kreative Fallen
Die Taktik der "Mad Liberator"-Gruppe zeigt einmal mehr, wie kreativ und anpassungsfähig Cyberkriminelle vorgehen. Sie nutzen das Vertrauen der Nutzer in bekannte Systemprozesse aus, um ihre Angriffe zu verschleiern. Umso wichtiger ist es, stets wachsam zu bleiben und sich nicht von vermeintlich harmlosen Update-Meldungen in Sicherheit wiegen zu lassen.Eine gute Schulung der Mitarbeiter und klare Richtlinien für den Umgang mit Fernwartungstools sind entscheidend, um solche Angriffe zu verhindern.
Was haltet ihr von dieser neuen Hacker-Taktik? Habt ihr in eurem Arbeitsumfeld schon einmal verdächtige "Windows-Updates" oder unerwartete Fernwartungsanfragen erlebt? Teilt eure Erfahrungen und Tipps in den Kommentaren - eure Einblicke könnten anderen helfen, sich besser zu schützen!
Zusammenfassung
- Hackergruppe "Mad Liberator" nutzt gefälschte Windows-Updates
- AnyDesk dient als Einfallstor für Datendiebstahl
- Sophos warnt vor neuer Cyberbedrohung seit Mitte Juli 2024
- Opfer können während des Angriffs nicht eingreifen
- Hacker stehlen Daten und hinterlassen Erpressernachrichten
- Unternehmen sollten auf offizielle Update-Kanäle achten
- Sophos empfiehlt strenge Zugriffskontrollen bei AnyDesk
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen