Surpreendendo a todos, a AnyDesk diz que hackers violaram seus servidores de produção e redefiniram senhas. Confira os detalhes desse incidente.
AnyDesk é uma solução de acesso remoto que permite aos usuários acessar remotamente computadores através de uma rede ou da Internet. O programa é muito popular entre as empresas, que o utilizam para suporte remoto ou para acessar servidores co-localizados.
O software também é popular entre os agentes de ameaças que o utilizam para acesso persistente a dispositivos e redes violados.
Agora, a AnyDesk confirmou que sofreu um ataque cibernético recente que permitiu que hackers obtivessem acesso aos sistemas de produção da empresa.
AnyDesk diz que hackers violaram seus servidores de produção
Sim. A AnyDesk diz que hackers violaram seus servidores de produção e redefiniram senhas. Além disso, o site BleepingComputer descobriu que o código-fonte e as chaves privadas de assinatura de código foram roubadas durante o ataque.
A empresa informa ter 170.000 clientes, incluindo 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS e as Nações Unidas.
Em um comunicado compartilhado no final da tarde de sexta-feira (02/02), a AnyDesk diz que soube do ataque depois de detectar indícios de um incidente em seus servidores de produção.
Depois de realizar uma auditoria de segurança, eles determinaram que seus sistemas estavam comprometidos e ativaram um plano de resposta com a ajuda da empresa de segurança cibernética CrowdStrike.
AnyDesk não compartilhou detalhes sobre se os dados foram roubados durante o ataque. No entanto, o BleepingComputer descobriu que os agentes da ameaça roubaram código-fonte e certificados de assinatura de código.
A empresa também confirmou que o ransomware não estava envolvido, mas não compartilhou muitas informações sobre o ataque, além de dizer que seus servidores foram violados, com o comunicado focando principalmente em como eles responderam ao incidente.
Como parte de sua resposta, AnyDesk afirma ter revogado certificados relacionados à segurança e corrigido ou substituído sistemas conforme necessário.
Eles também garantiram aos clientes que o uso do AnyDesk era seguro e que não havia evidências de que os dispositivos dos usuários finais fossem afetados pelo incidente.
“Podemos confirmar que a situação está sob controle e é seguro usar o AnyDesk. Certifique-se de estar usando a versão mais recente, com o novo certificado de assinatura de código”, disse AnyDesk em comunicado público.
Embora a empresa afirme que nenhum token de autenticação foi roubado, por cautela, AnyDesk está revogando todas as senhas de seu portal da web e sugere alterar a senha se ela for usada em outros sites.
“AnyDesk foi projetado de forma que os tokens de autenticação de sessão não possam ser roubados. Eles existem apenas no dispositivo do usuário final e estão associados à impressão digital do dispositivo. Esses tokens nunca tocam nossos sistemas”, disse AnyDesk ao site BleepingComputer em resposta às perguntas sobre o ataque.
“Não temos nenhuma indicação de sequestro de sessão, pois, pelo que sabemos, isso não é possível.”
A empresa já começou a substituir certificados de assinatura de código roubados, com Günter Born of BornCity relatando pela primeira vez que eles estão usando um novo certificado no AnyDesk versão 8.0.8, lançado em 29 de janeiro.
A única mudança listada na nova versão é que a empresa mudou para um novo certificado de assinatura de código e revogará o antigo em breve.
BleepingComputer analisou versões anteriores do software, e os executáveis mais antigos foram assinados sob o nome ‘philandro Software GmbH’ com número de série 0dbf152deaf0b981a8a938d53f769db8. A nova versão agora está assinada como ‘AnyDesk Software GmbH’, com um número de série 0a8177fcd8936a91b5e0eddf995b0ba5, conforme mostrado abaixo.
Os certificados geralmente não são invalidados, a menos que tenham sido comprometidos, como roubados em ataques ou expostos publicamente.
Embora AnyDesk não tenha compartilhado quando a violação ocorreu, Born relatou que AnyDesk sofreu uma interrupção de quatro dias a partir de 29 de janeiro, durante a qual a empresa desativou a capacidade de fazer login no cliente AnyDesk.
“my.anydesk II está atualmente em manutenção, que deve durar pelas próximas 48 horas ou menos”, diz a página de mensagens de status da AnyDesk.
“Você ainda pode acessar e usar sua conta normalmente. O login no cliente AnyDesk será restaurado assim que a manutenção for concluída.”
Ontem o acesso foi restaurado, permitindo que os usuários façam login em suas contas, mas o AnyDesk não informou nenhum motivo para a manutenção nas atualizações de status.
No entanto, AnyDesk confirmou ao BleepingComputer que esta manutenção está relacionada com o incidente de segurança cibernética.
É altamente recomendável que todos os usuários mudem para a nova versão do software, pois o antigo certificado de assinatura de código será revogado em breve.
Além disso, embora o AnyDesk afirme que as senhas não foram roubadas no ataque, os agentes da ameaça obtiveram acesso aos sistemas de produção, por isso é altamente recomendável que todos os usuários do AnyDesk alterem suas senhas.
Além disso, se eles usarem a senha do AnyDesk em outros sites, elas também deverão ser alteradas.
Toda semana, parece que ficamos sabendo de uma nova violação contra empresas conhecidas.
Ontem à noite, Cloudflare revelou que eles foram hackeados no Dia de Ação de Graças usando chaves de autenticação roubadas durante o ataque cibernético Okta do ano passado.
Na semana passada, a Microsoft também revelou que eles foram hackeados por hackers patrocinados pelo Estado russo chamados Midnight Blizzard, que também atacaram a HPE em maio.