O fornecedor de software de desktop remoto AnyDesk confirmou na sexta-feira que um ataque cibernético permitiu que hackers obtivessem acesso aos sistemas de produção da empresa, colocando a empresa em bloqueio por quase uma semana.
O software AnyDesk é usado por milhões de profissionais de TI para conectar-se rápida e remotamente aos dispositivos de seus clientes, muitas vezes para ajudar com problemas técnicos. Sobre seu siteAnyDesk afirma ter mais de 170.000 clientes, incluindo Comcast, LG, Samsung e Thales.
O software também é uma ferramenta popular entre agentes de ameaças e gangues de ransomware, que há muito usam o software para obter e manter acesso ao computador e aos dados da vítima. A agência de segurança cibernética dos EUA, CISA, disse em janeiro que hackers comprometeram agências federais usando software legítimo de desktop remotoincluindo AnyDesk.
As notícias da suspeita de violação começaram a se espalhar na segunda-feira passada, quando AnyDesk anunciou ele trocou seus certificados de assinatura de código, que as empresas usam para evitar que hackers adulterem seu código. Após uma interrupção de dias, AnyDesk confirmado em comunicado na noite de sexta-feira que a empresa “encontrou evidências de sistemas de produção comprometidos”.
AnyDesk disse que, como parte de sua resposta a incidentes, a empresa revogou todos os certificados relacionados à segurança, corrigiu ou substituiu sistemas quando necessário e invalidou todas as senhas do portal do cliente AnyDesk.
“Em breve revogaremos o certificado de assinatura de código anterior para nossos binários e já começamos a substituí-lo por um novo”, acrescentou a empresa na sexta-feira.
AnyDesk disse que o incidente não está relacionado ao ransomware, mas não revelou a natureza específica do ataque cibernético.
O porta-voz do AnyDesk, Matthew Caldwell, não respondeu a um e-mail do TechCrunch. CrowdStrike, que está trabalhando com AnyDesk para remediar o ataque cibernético, recusou-se a responder às perguntas do TechCrunch quando contatado na segunda-feira.
AnyDesk não respondeu às perguntas sobre se algum dado do cliente foi acessado, embora a empresa tenha afirmado em seu comunicado que “não há evidências de que algum sistema do usuário final tenha sido afetado”.
“Podemos confirmar que a situação está sob controle e é seguro usar o AnyDesk”, disse AnyDesk. “Certifique-se de que está usando a versão mais recente, com o novo certificado de assinatura de código”.
AnyDesk já enfrentou críticas pela forma como lidou com o ataque cibernético até agora. Como relatado pela primeira vez pelo blogueiro alemão Günter BornAnyDesk inicialmente reivindicado os quatro dias de interrupção a partir de 29 de janeiro, durante os quais a empresa bloqueou a capacidade de login dos usuários, foram de “manutenção”. Jake Williams, um veterano respondedor de incidentes, acusou AnyDesk de uma postagem no X de fazer um “movimento de relações públicas”, revelando o ataque cibernético aos clientes pouco antes do fim de semana.
Pesquisadores de segurança dizem que hackers estão vendendo acesso a contas AnyDesk supostamente afetadas pela violação em fóruns conhecidos de crimes cibernéticos, mas também observam que os detalhes da conta roubada provavelmente são provenientes de infecções anteriores de malware envolvendo malware para roubo de senha no computador de um usuário.
Você tem mais informações sobre esse incidente? Você pode entrar em contato com Carly Page com segurança no Signal pelo telefone +441536 853968 ou por email. Você também pode entre em contato com o TechCrunch via SecureDrop.
