Tras el hackeo de Anydesk, identificadores a la venta en la web oscura

Calor en Anydesk. El editor especializado en software de escritorio remoto anunció el 2 de febrero que había encontrado pruebas de que su SI había sido comprometido. Aunque según el grupo no se trata de ransomware, la situación sigue siendo preocupante. “Inmediatamente activamos un plan de respuesta y remediación que involucra a los expertos en ciberseguridad de CrowdStrike. Este plan se llevó a cabo con éxito. Se ha informado a las autoridades pertinentes y estamos trabajando estrechamente con ellas”, explicó el editor. El compromiso se remonta al menos al 29 de enero de 2024, cuando la empresa desactivó la conexión al servicio my.anydesk por “motivos de mantenimiento”.

Tras este ciberataque, Anydesk revocó todos los certificados relacionados con la seguridad y sus sistemas fueron limpiados o reemplazados cuando fue necesario. "Pronto revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo", indicó también el proveedor. “Nuestros sistemas están diseñados para no almacenar claves privadas, tokens de seguridad o contraseñas que podrían explotarse para iniciar sesión en los dispositivos de los usuarios finales. Como precaución, revocaremos todas las contraseñas de nuestro portal web, my.anydesk.com, y recomendamos a los usuarios que cambien sus contraseñas si se utilizan las mismas credenciales en otros lugares”. Entre sus 170.000 clientes encontramos a Comcast, MIT, Naciones Unidas, Nvidia, Samsung y Siemens.

Compromisos de cuentas de Anydesk expuestos en la web oscura

Aunque las circunstancias de este ataque aún no se conocen en este momento, los piratas informáticos se apresuraron a aprovechar la situación y afirmaron haber conseguido los datos de identificación de los clientes de Anydesk para venderlos en la oscuridad. web. "Es posible que los ciberdelincuentes conscientes del incidente se apresuren a monetizar las credenciales de los clientes disponibles en la web oscura y adquiridas de diferentes fuentes", dice Security Affairs. “Estos datos podrían ser extremadamente valiosos para los agentes de acceso inicial especializados y los grupos de ransomware que están familiarizados con Anydesk, que a menudo se utiliza como una de las herramientas después de una intrusión exitosa en una red. En particular, según el contexto adicional proporcionado por el actor, la mayoría de las cuentas expuestas en la web oscura no tenían habilitada la 2FA”.

En los foros circulan capturas de pantalla que muestran un acceso no autorizado exitoso con sesiones del 3 de febrero de 2024, es decir, después de las medidas correctivas anunciadas por Anydesk. “Es posible que algunos usuarios no hayan cambiado su contraseña o que este proceso aún esté en progreso. El procesamiento de remediación, especialmente para una gran base de clientes, es complejo y es posible que no se ejecute instantáneamente”, explica Security Affairs. Según Alon Gal, cofundador y CTO de Hudson Rock, más de 30.000 credenciales de usuario aspiradas por ladrones de información podrían estar circulando en la web oscura. Queda por ver cuántos se relacionan con el hack de Anydesk.