Os atores de ameaças estão vendendo mais de 18.317 credenciais AnyDesk no fórum de hackers “Exploit[.]in” por US$ 15.000, um dia depois que o criador da popular ferramenta de acesso remoto revelou uma violação catastrófica de dados.

AnyDesk é um aplicativo de desktop remoto que permite que os usuários acessem e controlem computadores de qualquer lugar do mundo. É conhecido por sua velocidade e design leve, tornando-o uma escolha popular para profissionais de TI, empresas e usuários individuais que precisam de acesso remoto a seus computadores ou desejam fornecer suporte remoto a outras pessoas.

Como visto anteriormente em casos como o ladrão Mitsu e o malware HotRAT, o AnyDesk é um alvo lucrativo e uma isca eficaz para os cibercriminosos, graças à popularidade do software e ao uso generalizado em ambientes de alto valor.

Em 2 de fevereiro de 2024, a AnyDesk anunciou que sofreu um ataque cibernético que comprometeu seus sistemas de produção. A empresa colaborou com o CrowdStrike para conter a ameaça e, mais tarde, tomou extensas medidas de segurança, incluindo a revogação e substituição de certificados. O fornecedor de software também aconselhou os usuários a alterar suas senhas imediatamente, embora tenha assegurado que nenhum dispositivo de usuário havia sido afetado pelo incidente.

Pesquisadores da Resecurity que descobriram a venda on-line de credenciais AnyDesk relatam que a situação pode ser mais complicada do que o fornecedor se importa em admitir. Um usuário chamado “Jobaaaaa” está vendendo um grande conjunto de credenciais de conta AnyDesk em um fórum de hackers, que os atores de ameaças poderiam aproveitar para estabelecer acesso remoto a sistemas de computador sensíveis ou realizar phishing lateral de dentro de redes violadas.

Além disso, ao acessar as contas AnyDesk de outras pessoas, os compradores deste conjunto podem acessar sua chave de licença, detalhes de conexão, informações de sessão, endereço de e-mail, status da conta e outros dados valiosos que podem ser usados para engenharia social eficaz e golpes. De acordo com as capturas de tela do vendedor, algumas das contas afetadas foram acessadas em 3 de fevereiro, então a atividade não autorizada ocorreu após a divulgação da violação de dados.

A Resecurity validou partes dos dados encontrados nas amostras compartilhadas gratuitamente pelo Jobaaaa e confirma que é autêntico, pertencente a pessoas que estão usando o AnyDesk ou o usaram em algum momento no passado.

Sobre o assunto de como essas credenciais foram adquiridas, a Resecurity não pode tirar conclusões seguras, dadas as evidências disponíveis.

“As fontes e métodos para adquirir dados dessa natureza podem variar dependendo das Táticas, Técnicas e Procedimentos (TTPs) exclusivos dos atores de ameaça”, diz o relatório de Resegurança.

“Embora se acredite amplamente que esse vazamento de credenciais seja o resultado de infecções por infostealers, essa incerteza, no entanto, cria uma nova área de preocupação.”

Se o conjunto de dados, que ainda não foi confirmado como autêntico, for real, o AnyDesk deve se mover rapidamente para impor uma redefinição de senha global, apesar da interrupção operacional que isso pode causar. Além disso, implementar uma etapa obrigatória de autenticação de dois fatores (2FA) para todas as contas AnyDesk seria uma medida de segurança muito eficaz para evitar esses sequestros.

Infelizmente, a AnyDesk levou vários dias para admitir publicamente o incidente de segurança cibernética, e o fornecedor de software ainda não compartilhou todos os detalhes sobre ele. Isso deixou muitos usuários no escuro sobre o que aconteceu, e uma porcentagem notável deles ainda precisa tomar as medidas apropriadas para proteger suas contas (redefinição de senha + MFA).

A Resecurity recomenda que os administradores do AnyDesk redefinam todas as senhas do usuário, ativem o 2FA, monitorem os registros de atividades e configurem listas brancas que permitam apenas conexões com IDs de usuários e namespaces confiáveis.



Gustavo Saez