A AnyDesk confirmou hoje que sofreu um recente ciberataque que permitiu aos hackers obter acesso aos sistemas de produção da empresa.
A BleepingComputer descobriu que o código-fonte e as chaves de assinatura de código privado foram roubadas durante o ataque.
AnyDesk é uma solução de acesso remoto que permite aos usuários acessar remotamente computadores através de uma rede ou da internet.
O programa é muito popular entre as empresas que o usam para suporte remoto ou para acessar servidores co-localizados.
O software também é popular entre os atores de ameaças que o usam para obter acesso persistente a dispositivos e redes violados.
A empresa relatou ter 170 mil clientes, incluindo 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS e as Nações Unidas.
Em uma declaração compartilhada com a BleepingComputer na tarde de sexta-feira, a AnyDesk disse que descobriu o ataque após detectar indícios de um incidente em seus servidores de produto.
Após realizar uma auditoria de segurança, eles determinaram que seus sistemas foram comprometidos e ativaram um plano de resposta com a ajuda da empresa de cibersegurança CrowdStrike.
AnyDesk não compartilhou detalhes sobre se os dados foram roubados durante o ataque.
No entanto, a BleepingComputer descobriu que os atores da ameaça roubaram o código-fonte e os certificados de assinatura de código.
A empresa também confirmou que o ataque não envolveu ransomware, mas não compartilhou muitas informações sobre o ataque além de dizer que seus servidores foram violados, com o aviso focando principalmente em como eles responderam ao ataque.
Como parte de sua resposta, a AnyDesk diz que revogou os certificados relacionados à segurança e remediação ou substituição de sistemas conforme necessário.
Eles também tranquilizaram os clientes de que a AnyDesk era segura para uso e de que não havia evidência de dispositivos de usuários finais sendo afetados pelo incidente.
"Podemos confirmar que a situação está sob controle e é seguro usar o AnyDesk.
Por favor, certifique-se de que está usando a versão mais recente, com o novo certificado de assinatura de código", disse AnyDesk em um comunicado público.
Enquanto a empresa diz que nenhum token de autenticação foi roubado, por precaução, a AnyDesk está revogando todas as senhas para seu portal web e sugere mudar a senha se ela for usada em outros sites.
"O AnyDesk é projetado de uma maneira na qual os tokens de autenticação de sessão não podem ser roubados.
Eles só existem no dispositivo do usuário final e estão associados à impressão digital do dispositivo.
Esses tokens nunca tocam nossos sistemas, "respondeu AnyDesk à BleepingComputer à nossas perguntas sobre o ataque.
"Não temos indicação de sequestro de sessão, pois, segundo nosso conhecimento, isso não é possível."
A empresa já começou a substituir os certificados de assinatura de código roubados, com Günter Born da BornCity reportando primeiramente que eles estão usando um novo certificado na versão AnyDesk 8.0.8, lançada no dia 29 de janeiro.
A única mudança listada na nova versão é que a empresa mudou para um novo certificado de assinatura de código e revogará o antigo em breve.
A BleepingComputer analisou as versões anteriores do software, e os executáveis mais antigos foram assinados sob o nome 'philandro Software GmbH' com o número de série 0dbf152deaf0b981a8a938d53f769db8.
A nova versão agora é assinada sob 'AnyDesk Software GmbH', com um número de série de 0a8177fcd8936a91b5e0eddf995b0ba5, como mostrado abaixo.
Os certificados geralmente não são invalidados a menos que tenham sido comprometidos, como serem roubados em ataques ou expostos ao público.
Embora a AnyDesk não tenha compartilhado quando a violação ocorreu, Born relatou que a AnyDesk sofreu uma interrupção de quatro dias a partir de 29 de janeiro, durante a qual a empresa desativou a capacidade de fazer login no cliente AnyDesk.
"my.anydesk II está atualmente passando por manutenção, o que deve durar as próximas 48 horas ou menos", lê-se na página de status da AnyDesk.
"Você ainda pode acessar e usar sua conta normalmente.
O login no cliente AnyDesk será restaurado assim que a manutenção estiver completa."
Ontem, o acesso foi restaurado, permitindo aos usuários fazerem login em suas contas, mas a AnyDesk não forneceu nenhum motivo para a manutenção.
A AnyDesk confirmou à BleepingComputer que essa manutenção está relacionada ao incidente de cibersegurança.
É altamente recomendado que todos os usuários mudem para a nova versão do software, pois o antigo certificado de assinatura de código será em breve revogado.
Além disso, enquanto AnyDesk diz que as senhas não foram roubadas no ataque, os atores da ameaça obtiveram acesso aos sistemas de produção, então é fortemente recomendável que todos os usuários do AnyDesk mudem suas senhas.
Além disso, se eles usarem sua senha AnyDesk em outros sites, eles devem ser alterados lá também.
Toda semana, parece que descobrimos uma nova violação contra empresas conhecidas.
Na noite passada, a Cloudflare divulgou que foram hackeados no Dia de Ação de Graças usando chaves de autenticação roubadas durante o ciberataque Okta do ano passado.
Na semana passada, a Microsoft também revelou que foi hackeada por hackers patrocinados pelo estado russo chamados Midnight Blizzard, que também atacaram a HPE em maio.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...