AnyDesk afferma che gli hacker hanno violato i suoi server di produzione, reimpostare le password!!!

AnyDesk ha confermato oggi di aver subito un recente attacco informatico che ha consentito agli hacker di accedere ai sistemi di produzione dell'azienda.

BleepingComputer ha appreso che il codice sorgente e le chiavi di firma del codice privato sono stati rubati durante l'attacco.

AnyDesk è una soluzione di accesso remoto che consente agli utenti di accedere in remoto ai computer tramite una rete o Internet. Il programma è molto popolare tra le aziende, che lo utilizzano per il supporto remoto o per accedere a server co-localizzati.

Il software è popolare anche tra gli autori di minacce che lo utilizzano per l'accesso persistente a dispositivi e reti violati.

L'azienda riferisce di avere 170.000 clienti, tra cui 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS e le Nazioni Unite.

Dopo aver condotto un audit di sicurezza, hanno stabilito che i loro sistemi erano compromessi e hanno attivato un piano di risposta con l'aiuto della società di sicurezza informatica CrowdStrike.

AnyDesk non ha condiviso i dettagli sull'eventuale furto dei dati durante l'attacco.

Tuttavia, BleepingComputer ha appreso che gli autori della minaccia hanno rubato il codice sorgente e i certificati di firma del codice.

La società ha anche confermato che il ransomware non era coinvolto ma non ha condiviso molte informazioni sull'attacco oltre a dire che i loro server erano stati violati, concentrandosi principalmente sul modo in cui hanno risposto all'incidente.

Come parte della loro risposta, AnyDesk afferma di aver revocato i certificati relativi alla sicurezza e di aver riparato o sostituito i sistemi secondo necessità.

Hanno inoltre rassicurato i clienti che AnyDesk era sicuro da usare e che non c'erano prove che i dispositivi degli utenti finali fossero stati interessati dall'incidente.

"Possiamo confermare che la situazione è sotto controllo ed è sicuro utilizzare AnyDesk. Assicurati di utilizzare la versione più recente, con il nuovo certificato di firma del codice", ha affermato AnyDesk in una dichiarazione pubblica.

Sebbene la società affermi che non è stato rubato alcun token di autenticazione, per cautela AnyDesk revoca tutte le password sul proprio portale web e suggerisce di modificare la password se viene utilizzata su altri siti.

"AnyDesk è progettato in modo tale che i token di autenticazione della sessione non possano essere rubati. Esistono solo sul dispositivo dell'utente finale e sono associati all'impronta digitale del dispositivo.

Questi token non toccano mai i nostri sistemi ", ha detto AnyDesk a BleepingComputer in risposta alle nostre domande sull'attacco .

"Non abbiamo alcuna indicazione di un dirottamento della sessione poiché, a nostra conoscenza, ciò non è possibile."

L'azienda ha già iniziato a sostituire i certificati di firma del codice rubati, con Günter Born di BornCity che ha riferito per primo di utilizzare un nuovo certificato in AnyDesk versione 8.0.8, rilasciato il 29 gennaio.

L'unica modifica elencata nella nuova versione è che l'azienda è passata a un nuovo certificato di firma del codice e revocherà presto quello vecchio.

BleepingComputer ha esaminato le versioni precedenti del software e gli eseguibili più vecchi sono stati firmati con il nome "philandro Software GmbH" con il numero di serie 0dbf152deaf0b981a8a938d53f769db8. La nuova versione è ora firmata sotto "AnyDesk Software GmbH", con un numero di serie 0a8177fcd8936a91b5e0eddf995b0ba5, come mostrato di seguito.

Di solito i certificati non vengono invalidati a meno che non siano stati compromessi, ad esempio rubati durante attacchi o esposti pubblicamente.

Sebbene AnyDesk non avesse condiviso quando si è verificata la violazione, Born ha riferito che AnyDesk ha subito un'interruzione di quattro giorni a partire dal 29 gennaio, durante i quali la società ha disabilitato la possibilità di accedere al client AnyDesk.

"my.anydesk II è attualmente in fase di manutenzione, che dovrebbe durare per le prossime 48 ore o meno", si legge nella pagina dei messaggi di stato di AnyDesk.

"Puoi comunque accedere e utilizzare normalmente il tuo account. L'accesso al client AnyDesk verrà ripristinato una volta completata la manutenzione."

Ieri l'accesso è stato ripristinato, consentendo agli utenti di accedere ai propri account, ma AnyDesk non ha fornito alcun motivo per il mantenimento negli aggiornamenti di stato.

Tuttavia, AnyDesk ha confermato a BleepingComputer che questa manutenzione è correlata all'incidente di sicurezza informatica.

Inoltre, sebbene AnyDesk affermi che le password non sono state rubate durante l’attacco, gli autori delle minacce hanno ottenuto l’accesso ai sistemi di produzione, quindi è fortemente consigliato a tutti gli utenti AnyDesk di cambiare le proprie password. Inoltre, se utilizzano la password AnyDesk su altri siti, dovrebbero essere modificate anche lì.

Ogni settimana sembra di venire a conoscenza di una nuova violazione ai danni di aziende rinomate.