AnyDesk software  remoto exige alteração de senha

A fabricante de software de área de trabalho remota AnyDesk divulgou na sexta-feira que sofreu um ataque cibernético que resultou na comprometimento de seus sistemas de produção.

A empresa alemã afirmou que o incidente, descoberto após uma auditoria de segurança, não se trata de um ataque de ransomware e que notificou as autoridades relevantes.

“Revogamos todos os certificados relacionados à segurança e os sistemas foram remediados ou substituídos quando necessário”, informou a empresa em um comunicado. “Em breve estaremos revogando o certificado de assinatura de código anterior para nossos binários e já começamos a substituí-lo por um novo.”

Por uma questão de precaução, a AnyDesk também revogou todas as senhas para seu portal da web, my.anydesk[.]com, e está incentivando os usuários a alterarem suas senhas caso as mesmas tenham sido reutilizadas em outros serviços online.

Também está recomendando que os usuários baixem a versão mais recente do software que vem com um novo certificado de assinatura de código.

A AnyDesk não divulgou quando e como seus sistemas de produção foram violados. Atualmente, não se sabe se alguma informação foi roubada após o incidente. No entanto, ela enfatizou que não há evidências de que quaisquer sistemas de usuários finais tenham sido afetados.

No início desta semana, Günter Born, do BornCity, divulgou que a AnyDesk estava em manutenção desde 29 de janeiro. O problema foi resolvido em 1º de fevereiro. Anteriormente em 24 de janeiro, a empresa também alertou os usuários sobre “interrupções intermitentes” e “degradação do serviço” em seu Portal do Cliente.

A AnyDesk conta com mais de 170.000 clientes, incluindo Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam e Thales.

A divulgação ocorre um dia após a Cloudflare afirmar que foi violada por um atacante suspeito de ser patrocinado por um estado, usando credenciais roubadas para obter acesso não autorizado ao seu servidor Atlassian e em última instância acessar parte da documentação e uma quantidade limitada de código-fonte.

Atualização

A empresa de segurança cibernética Resecurity informou ter encontrado dois atores de ameaças, um dos quais usa o pseudônimo online “Jobaaaaa”, anunciando um “número significativo de credenciais de clientes da AnyDesk à venda no Exploit[.]in”, observando que poderia ser usado para “scams de suporte técnico e envio de e-mails (phishing)”.

O ator de ameaça foi encontrado oferecendo 18.317 contas por US$ 15.000 em criptomoeda, além de concordar com um acordo por meio de custódia no fórum de crimes cibernéticos.

“Notavelmente, os carimbos de data e hora visíveis nas capturas de tela compartilhadas pelo ator ilustram acessos não autorizados bem-sucedidos datados de 3 de fevereiro de 2024 (pós-divulgação do incidente)”, informou a empresa. “É possível que nem todos os clientes tenham alterado suas credenciais de acesso, ou que este mecanismo ainda estivesse em andamento pelas partes afetadas.”

Não está claro como as credenciais foram obtidas, mas a Resecurity disse que os cibercriminosos podem estar se apressando para monetizar as credenciais de clientes disponíveis diante do fato de que as senhas podem ser redefinidas.

O Hacker News entrou em contato com a AnyDesk para obter mais comentários, e atualizaremos a história, assim que recebermos uma resposta.