El 2 de febrero de 2024, AnyDesk, un proveedor popular de software de escritorio remoto, anunció que había sido víctima de un ciberataque que comprometió sus sistemas de producción. La infracción, llevada a cabo por actores maliciosos, tiene implicaciones significativas para los clientes de AnyDesk.

El incidente se hizo público cuando AnyDesk emitió un comunicado sobre posibles violaciones de seguridad en algunos de sus sistemas. Posteriormente, la empresa llevó a cabo una exhaustiva auditoría de seguridad, confirmando que sus sistemas de producción habían sido comprometidos. Las consecuencias de esta infracción son alarmantes, ya que expuso datos confidenciales de los clientes a los ciberdelincuentes.

El 3 de febrero de 2024, la empresa de ciberseguridad Resecurity identificó a dos actores de amenazas involucrados en la violación, uno de ellos operando bajo el alias “Jobaaaaa”. Este actor, registrado desde 2021, ofrecía una cantidad sustancial de credenciales de clientes de AnyDesk a la venta en el mercado de la Dark Web Exploit[.]in. El equipo HUNTER de Resecurity interactuó con el actor, recopilando información para compartir con la comunidad en general y mitigar el riesgo.

Los datos comprometidos incluían credenciales de acceso de consumidores individuales y empresas, lo que podría desbloquear el portal de clientes de AnyDesk. El actor intentó desinfectar algunas contraseñas para evadir la detección. Sorprendentemente, 18,317 cuentas estaban a la venta por 15,000 dólares, pagaderos en criptomonedas. El actor incluso aceptó realizar la transacción a través de un servicio de depósito en garantía en un foro clandestino.

Las ramificaciones de esta brecha son profundas. Los ciberdelincuentes que obtuvieron acceso al portal AnyDesk podrían obtener información valiosa sobre los clientes, incluidas claves de licencia, conexiones activas, duraciones de sesiones, información de contacto, direcciones de correo electrónico y la cantidad de hosts de acceso remoto administrados, junto con su estado e ID en línea/fuera de línea. Estos detalles abren una gran cantidad de posibilidades maliciosas.

Además, las marcas de tiempo en las capturas de pantalla compartidas indicaban un acceso no autorizado incluso después de revelada la infracción, lo que sugiere que no todos los clientes habían cambiado sus credenciales. Esto presenta un desafío complejo para una solución adecuada, ya que los ciberdelincuentes podrían seguir explotando esta vulnerabilidad.

La ausencia de autenticación de dos factores (2FA) en la mayoría de las cuentas expuestas aumenta el peligro. Esta infracción podría catalizar nuevos ataques, incluidas campañas de phishing dirigidas que aprovechan la información adquirida para ganarse la confianza de las víctimas potenciales.

La violación expuso los datos de los clientes de AnyDesk y reveló la naturaleza diversa de las víctimas potenciales, ya que algunas capturas de pantalla contenían localización en idiomas extranjeros.

La respuesta de AnyDesk a la infracción incluyó notificar a los clientes sobre el mantenimiento planificado y deshabilitar temporalmente la funcionalidad de inicio de sesión como medida de seguridad. La funcionalidad de inicio de sesión se restauró el 1 de febrero de 2024 con respecto a los mecanismos de inicio de sesión único (SSO) y proveedor de identidad (IDP). Sin embargo, la empresa enfrenta el desafío de abordar las consecuencias de la violación, especialmente con el riesgo de que los ciberdelincuentes se apresuren a monetizar las credenciales de los clientes robadas.

Curiosamente, la violación de AnyDesk sigue a incidentes recientes que involucran a entidades prominentes como Cloudflare, Microsoft y Hewlett Packard Enterprise, supuestamente orquestados por un atacante de un estado-nación conocido como Midnight Blizzard/Nobelium. Las observaciones de Resecurity sugieren que la línea entre el cibercrimen y la actividad de los Estados-nación puede desdibujarse, ya que los actores ciberdelincuentes que operan en la Dark Web pueden llevar a cabo campañas similares a las de los actores de los Estados-nación.

A la luz de esta infracción, los clientes de AnyDesk deben tomar medidas proactivas para proteger sus cuentas y datos. Los cambios de contraseña por sí solos no son suficientes. AnyDesk ofrece una función de lista blanca, lo que permite a los usuarios especificar quién puede conectarse a sus dispositivos, agregando una capa adicional de seguridad.

Se recomienda encarecidamente la autenticación multifactor (MFA) para mejorar la protección de la cuenta. Las organizaciones también deben monitorear cualquier cambio inesperado de contraseña y MFA, sesiones sospechosas y correos electrónicos que hagan referencia a cuentas de AnyDesk de fuentes desconocidas.

fuente:securityonline