AnyDesk confirmou hoje que sofreu um ataque cibernético recente que permitiu que hackers obtivessem acesso aos sistemas de produção da empresa. BleepingComputer descobriu que o código-fonte e as chaves privadas de assinatura de código foram roubadas durante o ataque.
Mas lembre-se, a INOBRAZ não utiliza anydesk e nenhuma outra ferramenta gratuita, a nossa ferramenta de acesso remoto é embarcada no próprio antivírus gerenciável que esta em todos os nossos planos.
AnyDesk é uma solução de acesso remoto que permite aos usuários acessar remotamente computadores através de uma rede ou da Internet. O programa é muito popular entre as empresas, que o utilizam para suporte remoto ou para acessar servidores colocalizados.
O software também é popular entre os agentes de ameaças que o utilizam para acesso persistente a dispositivos e redes violados.
A empresa informa ter 170.000 clientes, incluindo 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS e as Nações Unidas.
AnyDesk hackeado
Em um comunicado compartilhado com o BleepingComputer no final da tarde de sexta-feira, AnyDesk diz que soube do ataque depois de detectar indícios de um incidente em seus servidores de produção.
Depois de realizar uma auditoria de segurança, eles determinaram que seus sistemas estavam comprometidos e ativaram um plano de resposta com a ajuda da empresa de segurança cibernética CrowdStrike.
AnyDesk não compartilhou detalhes sobre se os dados foram roubados durante o ataque. No entanto, o BleepingComputer descobriu que os agentes da ameaça roubaram código-fonte e certificados de assinatura de código.
A empresa também confirmou que o ransomware não estava envolvido, mas não compartilhou muitas informações sobre o ataque, além de dizer que seus servidores foram violados, com o comunicado focando principalmente em como eles responderam ao incidente.
Como parte de sua resposta, AnyDesk afirma ter revogado certificados relacionados à segurança e corrigido ou substituído sistemas conforme necessário. Eles também garantiram aos clientes que o uso do AnyDesk era seguro e que não havia evidências de que os dispositivos dos usuários finais fossem afetados pelo incidente.
“Podemos confirmar que a situação está sob controle e que é seguro usar o AnyDesk. Certifique-se de estar usando a versão mais recente, com o novo certificado de assinatura de código”, disse AnyDesk em um comunicado público.
Embora a empresa afirme que nenhum token de autenticação foi roubado, por cautela, AnyDesk está revogando todas as senhas de seu portal da web e sugere alterar a senha se ela for usada em outros sites.
“AnyDesk foi projetado de forma que os tokens de autenticação de sessão não possam ser roubados. Eles existem apenas no dispositivo do usuário final e estão associados à impressão digital do dispositivo. Esses tokens nunca tocam nossos sistemas “, disse AnyDesk ao BleepingComputer em resposta às nossas perguntas sobre o ataque .
“Não temos nenhuma indicação de sequestro de sessão, pois, pelo que sabemos, isso não é possível.”
A empresa já começou a substituir certificados de assinatura de código roubados, com Günter Born of BornCity primeiro relatando que eles estão usando um novo certificado no AnyDesk versão 8.0.8, lançado em 29 de janeiro. A única mudança listada na nova versão é que a empresa mudou para um novo certificado de assinatura de código e revogará o antigo em breve.
BleepingComputer analisou versões anteriores do software, e os executáveis mais antigos foram assinados sob o nome ‘philandro Software GmbH’ com número de série 0dbf152deaf0b981a8a938d53f769db8. A nova versão agora está assinada como ‘AnyDesk Software GmbH’, com um número de série 0a8177fcd8936a91b5e0eddf995b0ba5, conforme mostrado abaixo.
Os certificados geralmente não são invalidados, a menos que tenham sido comprometidos, como adquiridos em ataques ou expostos publicamente.
Embora AnyDesk não tenha compartilhado quando a violação ocorreu, Born relatou que AnyDesk sofreu uma interrupção de quatro dias a partir de 29 de janeiro, enquanto a empresa desativava a capacidade de fazer login no cliente AnyDesk.
“O my.anydesk II está atualmente em manutenção, que deve durar pelas próximas 48 horas ou menos”, diz a página de mensagem de status do AnyDesk.
“Você ainda pode acessar e usar sua conta normalmente. O login no cliente AnyDesk será restaurado assim que a manutenção for concluída.”
Ontem o acesso foi restaurado, permitindo que os usuários façam login em suas contas, mas o AnyDesk não informou nenhum motivo para a manutenção nas atualizações de status.
No entanto, AnyDesk confirmou ao BleepingComputer que esta manutenção está relacionada com o incidente de segurança cibernética.
É altamente prejudicial que todos os usuários mudem para a nova versão do software, pois o antigo certificado de assinatura de código será revogado em breve.
Além disso, embora o AnyDesk afirme que as senhas não foram roubadas no ataque, os agentes da ameaça obtiveram acesso aos sistemas de produção, por isso é altamente prejudicial que todos os usuários do AnyDesk alterem suas senhas. Além disso, se eles usarem a senha do AnyDesk em outros sites, eles também deverão ser alterados.
Esta semana, parece que ficamos sabendo de uma nova denúncia contra empresas conhecidas.
Ontem à noite, a Cloudflare revelou que foi hackeada no Dia de Ação de Graças usando chaves de autenticação roubadas durante o ataque cibernético de outubro do ano passado.
Na semana passada, a Microsoft também revelou que foi hackeada por hackers patrocinados pelo Estado russo, chamados Midnight Blizzard, que também atacaram a HPE em maio.
Fonte: https://www.bleepingcomputer.com/
