AnyDesk, la popular solución de acceso remoto, confirmó que fue víctima de un ciberataque el 2 de febrero de 2024. Los atacantes lograron infiltrarse en los sistemas de producción de la empresa, robando el código fuente y las claves privadas de firma de código.
Este programa es muy utilizado por empresas, con el que dan soporte remoto a ordenadores de usuarios o para acceder a servidores remotos. El software también es usado por actores maliciosos que lo aprovechan para tener acceso persistente a los dispositivos y redes comprometidos. La compañía afirma que tiene más de 170,000 clientes, entre los que se encuentran 7-Eleven, Comcast, Samsung, MIT, NVIDIA, y las Naciones Unidas.
En un comunicado, AnyDesk dice que se dieron cuenta del ataque tras detectar señales de un incidente en sus servidores de producción. Tras realizar una auditoría de seguridad, descubrieron que sus sistemas estaban comprometidos y activaron un plan de respuesta con la colaboración de la empresa de ciberseguridad CrowdStrike.
AnyDesk no reveló si los atacantes accedieron a datos sensibles durante el incidente. Pero se ha sabido que los agresores se hicieron con el código fuente y los certificados de firma de código.
La empresa también indicó que no hubo ransomware involucrado, pero no dio mucha información sobre el incidente, aparte de decir que sus servidores fueron comprometidos, y el aviso se enfocó principalmente en cómo actuaron frente al problema.
Como parte de su actuación, AnyDesk dice que han anulado los certificados relacionados y han reparado o sustituido los sistemas según fuera necesario. También aseguraron a los clientes que AnyDesk era seguro de usar y que no había pruebas de que los dispositivos de los usuarios finales se vieran afectados por el incidente.
«Podemos confirmar que la situación está bajo control y que es seguro usar AnyDesk. Asegúrese de que está usando la última versión, con el nuevo certificado de firma de código», dijo AnyDesk en una declaración pública.
Aunque la empresa dice que no se robaron tokens de autenticación, por precaución, AnyDesk está anulando todas las contraseñas de su portal web y sugiere cambiar la contraseña si se usa en otros sitios.
Además, aunque AnyDesk dice que las contraseñas no fueron robadas en el ataque, los atacantes obtuvieron acceso a los sistemas de producción, por lo que se recomienda encarecidamente que todos los usuarios de AnyDesk cambien sus contraseñas. Además, si usan su contraseña de AnyDesk en otros sitios, también deben cambiarlas allí.
Sin embargo, el 3 de febrero, Resecurity identificó múltiples actores que vendían acceso a credenciales comprometidas de AnyDesk en foros de ciberdelincuentes. Uno de estos actores de amenazas, con el alias de «Jobaaaaa», enumeró más de 18,000 credenciales de clientes de AnyDesk a la venta en Exploit[.]en, un prominente foro de la Dark Web, a la venta por 15.000 USD.
Los datos de este tipo pueden tener distintos orígenes dependiendo de las tácticas, técnicas y procedimientos (TTP) propios de cada actor. Aunque se piensa que esta filtración de credenciales se debe a infecciones de malware que roban información, esta incertidumbre plantea una nueva preocupación. Si se acepta como válida la hipótesis mayoritaria del malware que roba información y en vista del último incidente revelado, el cambio de contraseña sería una medida de mitigación imprescindible para todos los clientes de AnyDesk. Los usuarios finales de AnyDesk son administradores de TI, que suelen ser el blanco de estos actores. Por eso, es fundamental que AnyDesk se asegure de que este ciberataque no haya comprometido el acceso a ningún otro sistema crítico al que sus administradores de TI puedan tener acceso privilegiado.
Además de los operadores clandestinos de ransomware, los estafadores en línea han abusado previamente de AnyDesk y lo han puesto en práctica en varios esquemas fraudulentos. AnyDesk describe la tipología de ataque más común en su sitio web: Técnicos de soporte ficticios de Microsoft (u otra empresa tecnológica) que afirman que necesitan limpiar tu dispositivo de software malicioso y te piden que instales AnyDesk para el acceso remoto para parchear un error en tu sistema. Los estafadores siempre intentan ganarse tu confianza fingiendo representar a una empresa legítima. Desafortunadamente, los estafadores han tenido éxito en el uso de técnicas avanzadas de ingeniería social, lo que ha llevado a las víctimas a caer en estafas, a pesar de las numerosas advertencias y avisos publicados por los proveedores de TI y la comunidad de ciberseguridad.
Conclusión
En resumen, un nuevo ejemplo de ataque sobre la cadena de suministro que realza la necesidad de medidas de seguridad adicionales, como son la utilización de autenticación de dos factores, listas blancas para restringir los sistemas remotos autorizados y el uso de sistemas de monitorización para detectar cambios inesperados de contraseña y MFA para las cuentas de los clientes, las sesiones sospechosas y los posibles correos electrónicos de phishing.
Fuentes: Anydesk, BleepingComputer, Resecurity