A AnyDesk, fornecedora de uma solução de acesso remoto de mesmo nome, confirmou que sofreu um ataque cibernético recentemente que permitiu que hackers obtivessem acesso aos sistemas de produção da empresa.
O AnyDesk permite aos usuários acessar remotamente computadores através de uma rede ou da internet. O programa é muito popular entre as empresas, que o utilizam para suporte remoto ou para acessar servidores colocalizados, distribuídos em um mesmo lugar. O software também é popular entre operadores de ameaças que o utilizam para acesso persistente a dispositivos e redes.
Em um comunicado publicado na tarde de sexta-feira, 2, AnyDesk diz que soube do ataque depois de detectar indícios de um incidente em seus servidores de produção. Ela diz que, depois de realizar uma auditoria de segurança, descobriu que seus sistemas estavam comprometidos e ativou um plano de resposta com a ajuda da empresa de segurança cibernética CrowdStrike. A empresa informa ter 170 mil clientes, incluindo 7-Eleven, Comcast, Samsung, MIT, NVidia, Siemens e Organização das Nações Unidas (ONU).
A AnyDesk, contudo, não disse se os dados foram roubados durante o ataque. No entanto, o BleepingComputer descobriu que os operadores da ameaça roubaram código-fonte e certificados de assinatura de código. A empresa afirmou que o ataque não envolveu ransomware, mas não deu muitas informações sobre o ataque, além de dizer que seus servidores foram violados.
Como parte de sua resposta ao incidente, a AnyDesk disse ter revogado certificados relacionados à segurança e corrigido ou substituído sistemas conforme necessário. Ela também garantiu aos clientes que o uso do AnyDesk era seguro e que não havia evidências de que os dispositivos dos usuários finais tivessem sido afetados. “Podemos confirmar que a situação está sob controle e é seguro usar o AnyDesk. Certifique-se de estar usando a versão mais recente, com o novo certificado de assinatura de código”, disse em comunicado.
Embora afirme que nenhum token de autenticação foi roubado, por cautela, a AnyDesk está revogando todas as senhas de seu portal na web e sugere alterar a senha se ela for usada em outros sites. “O AnyDesk foi projetado de forma que os tokens de autenticação de sessão não possam ser roubados. Eles existem apenas no dispositivo do usuário final e estão associados à impressão digital do dispositivo. Esses tokens nunca tocam nossos sistemas “, disse a empresa.
A empresa já começou a substituir certificados de assinatura de código roubados por um novo no AnyDesk versão 8.0.8, lançado em 29 de janeiro. A única mudança listada na nova versão é que a empresa mudou para um novo certificado de assinatura de código e revogará o antigo em breve.Os certificados geralmente não são invalidados, a menos que tenham sido comprometidos, como roubados em ataques ou expostos publicamente.
Para ter acesso ao relatório completo da AnyDesk, em inglês, sobre a resposta ao incidente, acesse: https://anydesk.com/en/public-statement
* Notícia adaptada de: https://www.cisoadvisor.com.br/anydesk-diz-que-hackers-violaram-servidor...
