Der Hersteller von Remote-Desktop-Software AnyDesk gab am Freitag bekannt, dass er Opfer eines Cyberangriffs geworden sei, der zur Beeinträchtigung seiner Produktionssysteme geführt habe.
Das deutsche Unternehmen erklärte, dass es sich bei dem Vorfall, den es nach einer Sicherheitsüberprüfung entdeckt habe, nicht um einen Ransomware-Angriff handele und dass es die zuständigen Behörden benachrichtigt habe.
„Wir haben alle sicherheitsrelevanten Zertifikate widerrufen und die Systeme wurden, wo nötig, saniert oder ersetzt“, hieß es in einer Erklärung des Unternehmens. „Wir werden das bisherige Code-Signing-Zertifikat für unsere Binärdateien in Kürze widerrufen und haben bereits damit begonnen, es durch ein neues zu ersetzen.“
Aus übermäßiger Vorsicht hat AnyDesk außerdem alle Passwörter für sein Webportal my.anydesk[.]com widerrufen und fordert Benutzer dringend auf, ihre Passwörter zu ändern, wenn dieselben Passwörter für andere Onlinedienste wiederverwendet wurden.
Den Benutzern wird außerdem empfohlen, die neueste Version der Software herunterzuladen, die über ein neues Codesignaturzertifikat verfügt .
AnyDesk hat nicht bekannt gegeben, wann und wie seine Produktionssysteme gehackt wurden. Derzeit ist nicht bekannt, ob bei dem Hack Informationen gestohlen wurden. Das Unternehmen betonte jedoch, dass es keine Hinweise darauf gebe, dass Endbenutzersysteme betroffen seien.
Anfang dieser Woche gab Günter Born von BornCity bekannt , dass AnyDesk seit dem 29. Januar gewartet wird. Das Problem wurde am 1. Februar behoben . Zuvor, am 24. Januar, warnte das Unternehmen die Benutzer in seinem Kundenportal auch vor „zeitweiligen Timeouts“ und „Serviceverschlechterungen“.
AnyDesk hat über 170.000 Kunden, darunter Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam und Thales.
Die Offenlegung erfolgt einen Tag, nachdem Cloudflare erklärt hatte, dass ein mutmaßlicher staatlicher Angreifer mit gestohlenen Anmeldeinformationen in das Unternehmen eingedrungen sei, um sich unbefugten Zugriff auf den Atlassian-Server zu verschaffen und schließlich Zugriff auf einige Dokumente und eine begrenzte Menge an Quellcode zu erhalten.
Aktualisieren#
Das Cybersicherheitsunternehmen Resecurity erklärte, es habe zwei Bedrohungsakteure gefunden, von denen einer unter dem Online-Alias „Jobaaaaa“ auftritt und eine „beträchtliche Anzahl von AnyDesk-Kundendaten zum Verkauf bei Exploit[.]in“ anbiete. Es wies darauf hin, dass diese für „technischen Support-Betrug und Mailing (Phishing)“ verwendet werden könnten.
Es wurde festgestellt, dass der Bedrohungsakteur 18.317 Konten im Wert von 15.000 US-Dollar in Kryptowährung anbot und außerdem einem Treuhandgeschäft im Cybercrime-Forum zustimmte.
„Bemerkenswerterweise zeigen die Zeitstempel, die auf den vom Akteur geteilten Screenshots sichtbar sind, einen erfolgreichen unbefugten Zugriff vom 3. Februar 2024 (Offenlegung nach dem Vorfall)“, sagte das Unternehmen . „Es ist möglich, dass nicht alle Kunden ihre Zugangsdaten geändert haben oder dieser Mechanismus von den betroffenen Parteien noch im Gange war.“
Es ist nicht klar, wie die Zugangsdaten erlangt wurden, aber Resecurity sagte, dass Cyberkriminelle möglicherweise darauf aus sind, die verfügbaren Kundenzugangsdaten zu Geld zu machen, da die Passwörter zurückgesetzt werden könnten.
AnyDesk: Software nach Cyberangriff „sicher verwendbar“#
Auf Nachfrage verwies AnyDesk The Hacker News auf seine neue öffentliche Stellungnahme , in der es heißt, dass alle aus „offiziellen Quellen“ bezogenen Versionen seines Tools weiterhin sicher verwendet werden können. Außerdem wird den Kunden empfohlen, die neuesten Versionen 7.0.15 und 8.0.8 herunterzuladen.
Der Vorfall soll sich einer separaten FAQ zufolge , die das Unternehmen veröffentlicht hat, Mitte Januar 2024 ereignet haben und veranlasste das Unternehmen zu einem Sicherheitsaudit, bei dem letztlich Hinweise auf kompromittierte Produktionssysteme gefunden wurden.
Das Unternehmen betonte weiter, dass es weder böswillige Änderungen am Quellcode beobachtet noch Hinweise darauf gesehen habe, dass über AnyDesk-Systeme bösartiger Code an Kunden verteilt worden sei instagram search.
AnyDesk betonte auch, dass Berichte über den Verkauf von Benutzerdaten im Darknet nicht direkt mit dem Vorfall in Verbindung stehen. „Vielmehr scheinen es alte Informationen zu sein, die von Endbenutzergeräten stammen, die mit Malware infiziert sind, z. B. von Informationsdieben“, sagte das Unternehmen.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitterund LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.