به تازگی یک گروه هکری جدید با نام Mad Liberator، کاربران AnyDesk را هدف حمله قرار داده است. این گروه پس از پذیرش درخواست anydesk توسط قربانی، با نمایش یک صفحه به‌روزرسانی جعلی ویندوز در پشت زمینه، اطلاعات کاربران را به سرقت می‏برد و پس از مدتی از قربانی برای عدم افشای اطلاعات وی اخاذی می‏کند. این گروه هکری تاکنون اطلاعات 9 قربانی را در وب‏سایت خود افشا کرده است.

حمله Mad Liberator با اتصال ناخواسته به رایانه با استفاده از برنامه دسترسی از راه دور AnyDesk که در بین تیم‌های فناوری اطلاعات محبوب است آغاز می‌شود. مشخص نیست که مهاجم چگونه اهداف خود را انتخاب می‌کند، اما ممکن است شناسه‏های اتصال AnyDesk را تا زمانی که کسی درخواست اتصال را بپذیرد امتحان ‏کند.
هنگامی که درخواست اتصال تأیید شد، مهاجم یک فایل باینری به نام Microsoft Windows Update را روی سیستم قربانی قرار می‌دهد که یک صفحه نمایش جعلی به روزرسانی ویندوز را نشان می‌دهد. مهاجم از این ترفند برای منحرف کردن حواس قربانی استفاده می‏کند و در پشت زمینه از ابزار AnyDesk’s File Transfer برای سرقت داده‌ها از حساب‌های OneDrive، اشتراک‌های شبکه و حافظه محلی استفاده می‌کند. در زمان نمایش صفحه به‌روزرسانی جعلی، صفحه‌کلید قربانی غیرفعال می‌شود تا از اختلال در فرآیند سرقت اطلاعات جلوگیری شود.
در حملات مشاهده شده توسط شرکت سوفوس که تقریباً چهار ساعت به طول انجامیده این گروه پس از سرقت اطلاعات هیچ گونه رمزگذاری بر روی داده‏ها انجام نداده است. با این حال، یادداشت‌های باج‌گیری را به اشتراک گذاشته تا از دیده شدن به اندازه کافی در محیط‌ شرکت اطمینان حاصل کند.

این گروه برای اخاذی از کاربران ابتدا با شرکت‏های قربانی تماس می‏گیرد و پیشنهاد می‏کند در صورت برآورده شدن مطالبات مالی آنها، به آنها کمک کنند تا مشکلات امنیتی خود را برطرف کرده و فایل‌های رمزگذاری شده را بازیابی کنند. اگر شرکت قربانی در 24 ساعت پاسخ ندهد، نام آنها در پورتال اخاذی منتشر می‏شود و هفت روز فرصت داده می‏شود تا با مهاجمان تماس بگیرند. پس از گذشت پنج روز دیگر، در صورت عدم پرداخت باج، تمامی اطلاعات سرقت شده در وب‌سایت Mad Liberator منتشر می‌شود. این گروه تاکنون اطلاعات 9 قربانی را منتشر کرده است.