Какво се случи ?
На 25 януари 2024 г. потребители започват да се оплакват от постоянни “нередности” със софтуера за дистанционна поддръжка AnyDesk. Това се изразява в невъзможност да се установи връзка с клиентските устройства. Освен това лицензионните ключове изведнъж вече не се приемат. Поддръжката на AnyDesk само заявява, че “в момента има проблеми със сървърните връзки”.
AnyDesk потвърди успешна кибератака
В доклад за инцидента е публикуван тук няколкo дни след кибератаката. AnyDesk потвърждава, че е извършена проверка за сигурност след индикации за инцидент в някои от собствените му системи.
AnyDesk заявява, че незабавно е активирала план за отстраняване и реагиране, включващ експертите по киберсигурност на CrowdStrike.
Компанията отрича този инцидент да е рансъмуер инфекция.
Анулирани сертификати и пароли
След това AnyDesk отменя всички сертификати, свързани със сигурността, и системите са ремонтирани или заменени, където е необходимо, продължава докладът. Това обяснява и еднодневния режим на поддръжка на системите. Предишният сертификат за подписване на код за двоични файлове на AnyDesk вече е заменен , пише доставчикът.
Няма доказателства за откраднати данни?
AnyDesk пише за този инцидент, че към днешна дата няма индикации, че крайните устройства са засегнати. Потребителите трябва да се уверят, че използват най-новата версия с новия сертификат за подписване на код.
AnyDesk заключава, че системите са проектирани да не съхраняват частни ключове, токени за сигурност или пароли, които биха могли да бъдат използвани за свързване с устройства на крайния потребител.
Потребителските пароли трябва да бъдат променени
В доклада за атаката AnyDesk пише: “Като предпазна мярка анулирахме всички пароли за my.anydesk.com на нашия уеб портал и препоръчваме на потребителите да променят паролите си, ако използват същите данни за вход другаде”.
ИТ администраторите, позволяващи използването на софтуера за връзка с отдалечен работен плот AnyDesk, трябва незабавно да принудят потребителите да променят паролите си. В допълнение към промяната на паролите, ИТ трябва да наложи използването на многофакторно удостоверяване като допълнителна стъпка за влизане, ако вече не го е направила. В darkweb се предлагат 18 000 идентификационни данни, очевидно откраднати от клиентите на AnyDesk. Цената на закупуването на тези 18 000 пароли е 15 000 долара в криптовалута.
Служителите трябва да бъдат предупредени, че участниците в заплахите често се опитват да подмамят хората да инсталират AnyDesk, за да имат отдалечен достъп до компютрите. Измамите включват имейли или телефонни обаждания, които се преструват, че са от Microsoft или друга компания, в които се казва, че трябва да инсталират AnyDesk, за да почистят компютъра си с Windows. Друга измама е комуникация, в която се твърди, че е от поддръжката на AnyDesk, в която се казва, че се нуждаят от отдалечен достъп до компютъра на човека или до смартфона му с Android или Apple.
