Der beliebte Anbieter von Remote-Desktop-Software AnyDesk hat bestätigt, dass seine Produktionssysteme nach einem Cyberangriff kompromittiert wurden.
Die Systeme von AnyDesk wurden von Angreifern gehackt, denen es gelang, Quellcode und private Codesignaturschlüssel zu stehlen und sich Zugriff auf die Produktionssysteme des Unternehmens zu verschaffen, wie das Unternehmen am 2. Februar bekannt gab.
„Wir haben sofort einen Sanierungs- und Reaktionsplan unter Einbeziehung der Cybersicherheitsexperten von CrowdStrike aktiviert. Der Sanierungsplan wurde erfolgreich abgeschlossen“, sagte AnyDesk in einer öffentlichen Erklärung .
Das Unternehmen hat im Rahmen von Wartungsarbeiten sämtliche sicherheitsrelevanten Zertifikate und Webportal-Passwörter widerrufen und geht davon aus, dass der Bedrohungsakteur nun nicht mehr in seinem Netzwerk ist.
Der Hack hatte keinen Bezug zu Ransomware und AnyDesk fand keine Hinweise darauf, dass die Geräte der Endbenutzer betroffen waren.
„Unsere Systeme sind so konzipiert, dass sie keine privaten Schlüssel, Sicherheitstoken oder Passwörter speichern, die ausgenutzt werden könnten, um eine Verbindung zu Endbenutzergeräten herzustellen.“
„Wir können bestätigen, dass die Situation unter Kontrolle ist und die Nutzung von AnyDesk sicher ist. Bitte stellen Sie sicher, dass Sie die neueste Version mit dem neuen Codesignaturzertifikat verwenden und dass Sie Ihre Passwörter ändern, wenn dieselben Anmeldeinformationen woanders verwendet werden“, sagte das Unternehmen.
Tausende gestohlene AnyDesk-Anmeldedaten im Dark Web verkauft
Am 4. Februar, zwei Tage nach der öffentlichen Erklärung von AnyDesk, gab das Cybersicherheitsunternehmen Resecurity bekannt , dass mehrere Bedrohungsakteure kompromittierte AnyDesk-Anmeldeinformationen sowohl im Clear Web als auch im Dark Web verkaufen.
„Einer dieser Bedrohungsakteure, der unter dem Pseudonym ‚Jobaaaaa‘ auftritt und seinen Forenaccount ursprünglich im Jahr 2021 registriert hatte, bot auf Exploit[.]in, einem bekannten Dark-Web-Forum, über 18.000 AnyDesk-Kundenanmeldeinformationen zum Verkauf an“, schrieb das Team von Resecurity Hunter in einem Bericht.
Laut dem Bedrohungsinformationsanbieter SOS Intelligence hat dieser neue Einbruch wahrscheinlich nichts mit dem vorherigen Cyberangriff zu tun.
„Die Quelle dieser Anmeldeinformationen ist sehr wahrscheinlich eine Kompromittierung des Endkunden durch Stealer-Malware und nicht der AnyDesk-Einbruch. Dies wurde teilweise bestätigt, indem einige der offengelegten Client-E-Mails mit genauen Stealer-Protokolleinträgen abgeglichen wurden, die wir erhalten konnten“, sagte SOS Intelligence auf X.
Dies wurde von Hudson Rock , einem anderen Anbieter von Bedrohungsinformationen, bestätigt.
Resecurity argumentierte jedoch, dass der Zeitrahmen darauf hindeutet, dass Cyberkriminelle, die mit dem ursprünglichen Vorfall vertraut sind, sich beeilen, verfügbare Kundenanmeldeinformationen zu monetarisieren, bevor AnyDesk-Kunden proaktive Maßnahmen ergreifen, um ihre Anmeldeinformationen zurückzusetzen.
Insbesondere die Zeitstempel auf den Screenshots, die der Bedrohungsakteur mit Resecurity geteilt hat, zeigen einen erfolgreichen unbefugten Zugriff vom 3. Februar, also nachdem AnyDesk sagte, dass sie den Vorfall gelöst hätten.
Die Wartung von AnyDesk dauerte vom 29. Januar bis zum 1. Februar. Während dieser Zeit war es nicht möglich, sich beim AnyDesk-Portal anzumelden.
„Das deutet darauf hin, dass viele Kunden ihre Zugangsdaten noch immer nicht geändert haben oder dieser Mechanismus von den betroffenen Parteien noch aktiv war“, schrieb Resecurity.
„Durch den Zugriff auf das AnyDesk-Portal könnten böswillige Bedrohungsakteure wichtige Details über die Kunden erfahren – darunter, aber nicht beschränkt auf den verwendeten Lizenzschlüssel, die Anzahl der aktiven Verbindungen, die Dauer der Sitzungen, die Kunden-ID und Kontaktinformationen, die mit dem Konto verknüpfte E-Mail-Adresse und die Gesamtzahl der Hosts mit aktivierter Remote-Access-Management-Software sowie deren Online- oder Offline-Status und IDs“, fügte Resecurity hinzu.
Resecurity hat seine Erkenntnisse mit AnyDesk geteilt.
Empfehlungen von Resecurity zur Risikominderung
Resecurity riet allen AnyDesk-Kunden, sich für weitere Informationen zu den möglichen Auswirkungen auf ihr Unternehmen an das Unternehmen zu wenden honor magic vs.
Das Sicherheitsunternehmen empfahl außerdem die folgenden Minderungsmaßnahmen:
- Ändern Sie schnell Ihre AnyDesk-Passwörter
- Verwenden Sie die Whitelist-Funktion von AnyDesk (AnyDesk-IDs), um nur vertrauenswürdigen Geräten die Autorisierung für Ihren AnyDesk-Namespace zu gestatten
- Verwenden Sie die Multifaktor-Authentifizierung (MFA).
- Überwachen Sie unerwartete Kennwort- und MFA-Änderungen für Kundenkonten, verdächtige Sitzungen und mögliche E-Mails, die im Namen anderer Entitäten gesendet werden und auf AnyDesk-Kontoinformationen verweisen