AnyDesk la reconocida aplicación de escritorio remoto, que permite a los usuarios acceder de forma remota a computadoras a través de una red o Internet, ha revelado que sufrió un reciente ciberataque que permitió a piratas informáticos acceder a los sistemas de producción de la empresa. Durante el ataque se vieron comprometidos el código fuente y las claves de firma de código privado. Este software tiene gran acogida entre las empresas, ya que es utilizado para soporte remoto y tener acceso a servidores.
La empresa informa tener 170.000 clientes, incluidos 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS y las Naciones Unidas.
En una declaración compartida con BleepingComputer el viernes 2 de febrero del 2024, AnyDesk indica que se enteraron del ataque por primera vez después de detectar indicios de un incidente en sus servidores de producción.
Después de realizar una auditoría de seguridad, determinaron que sus sistemas estaban comprometidos y activaron un plan de respuesta con la ayuda de la firma de ciberseguridad CrowdStrike. AnyDesk no compartió detalles sobre si se robaron datos durante el ataque. Sin embargo, BleepingComputer se enteró de que los actores de amenazas robaron el código fuente y los certificados de firma de código.
La compañía también confirmó que el ransomware no estuvo involucrado. Como respuesta al incidente, AnyDesk menciona que revocaron certificados relacionados con la seguridad y remediaron o reemplazaron sistemas según fue necesario. También aseguraron a los clientes que AnyDesk era seguro de usar y que no había evidencia de que los dispositivos de los usuarios finales se vieran afectados por el incidente.
AnyDesk no reveló cuándo ocurrió la infracción, sin embargo, Born informó que AnyDesk sufrió una interrupción de cuatro días desde el 29 de enero, durante el cual la compañía deshabilitó la capacidad de iniciar sesión en el cliente AnyDesk.
Mitigación
Pese a que la compañía indica que no se robaron tokens de autenticación, por precaución, AnyDesk está revocando todas las contraseñas de su portal web my.anydesk[.]com y sugiere cambiar la contraseña si se usa en otros sitios. También recomienda que los usuarios descarguen la última versión del software (V8.0.8), que viene con un nuevo certificado de firma de código.
Recomendaciones
- Actualizar el software a la última versión disponible lo antes posible ya que el antiguo certificado de firma de código será revocado para mitigar riesgos potenciales.
- Realizar cambio de contraseña utilizada en el portal web my.anydesk.com como medida de precaución, en especial si las credenciales son reutilizadas en otros sitios.
- Utilizar contraseñas únicas y robustas para cada una de las aplicaciones o portales que utilice.
Referencias