קבוצת פושעי סייבר חדשה המכונה Mad Liberator, מכוונת מתקפות סייבר כלפי משתמשי AnyDesk ומפעילה מסך עדכון מזויף של Microsoft Windows כדי להסיח את דעתם, תוך גניבת מידע ממחשב היעד. הקבוצה הופיעה ביולי ולמרות שחוקרי סייבר שצפו בפעילותה לא ראו תקריות כלשהן הקשורות בהצפנת מידע, מציינת קבוצת הסייבר באתר הדלפת המידע שלהם שהם משתמשים באלגוריתמים של AES/RSA כדי לנעול קבצים.
בדו"ח של חברת אבטחת הסייבר Sophos, מדווחים חוקרי הסייבר כי מתקפה של Mad Liberator מתחילה בחיבור לא רצוי למחשב באמצעות תוכנת הגישה מרחוק של AnyDesk, הפופולרית בקרב צוותי IT המנהלים סביבות מחשוב ארגוניות. לא ברור כיצד בוחרים פושעי הסייבר את המטרות שלהם, אולם תיאוריה אחת, אם כי עדיין לא הוכחה, היא שהם מנסים כתובות פוטנציאליות (מזהי חיבור AnyDesk) עד שמישהו מאשר את בקשת החיבור מרחוק. לאחר אישור בקשת החיבור, מתקינים פושעי הסייבר על המערכת שנפגעה קובץ בינארי בשם Microsoft Windows Update, המציג מסך מזויף של Windows Update. המטרה היחידה של התחבולה היא להסיח את דעתו של הקורבן בזמן שפושעי הסייבר משתמשים בכלי העברת הקבצים של AnyDesk כדי לגנוב מידע מחשבונות OneDrive, שיתופי רשת והאחסון המקומי. במהלך תצוגת מסך העדכון המזויף, המקלדת של הקורבן מושבתת כדי למנוע את שיבוש גניבת המידע.
במתקפות שנמשכו כארבע שעות בהן צפו חוקרי Sophos, לא ביצעו Mad Liberator הצפנת מידע בשלב שלאחר ההסתננות. כמו כן, Sophos מציינים כי הם לא ראו את Mad Liberator מקיימים אינטראקציה עם הקורבן לפני בקשת החיבור של AnyDesk ולא נרשמו ניסיונות דיוג התומכים במתקפה.
בנוגע לתהליך הסחיטה של Mad Liberator, טוענים אנשי קבוצת הפשיעה באתר שלהם ברשת האינטרנט האפלה, שהם יוצרים קשר עם הארגונים ומציעים "לעזור" להם לתקן את בעיות האבטחה שלהם ולשחזר קבצים מוצפנים אם הדרישות הכספיות שלהם תיעננה. אם החברה הנפגעת לא מגיבה תוך 24 שעות, שמם מתפרסם בפורטל הסחיטה וניתנים לה שבעה ימים לפנות בחזרה לקבוצת הסייבר. לאחר חמישה ימים נוספים מאז הצגת האולטימטום ללא תשלום דמי הכופר, מתפרסמים כל הקבצים הגנובים באתר Mad Liberator, המפרט כעת תשעה קורבנות.
