Beliebte Remote-Desktop-Software AnyDesk gehackt
Der Remote-Desktop-Software-Hersteller AnyDesk hat mitgeteilt, dass seine Produktivsysteme Opfer eines Cyberangriffs wurden. Das deutsche Unternehmen betonte, dass es sich nicht um einen Ransomware-Angriff handelt und dass es die Behörden informiert hat, nachdem der Vorfall bei einem Sicherheitsaudit entdeckt wurde.
„Wir haben alle sicherheitsrelevanten Zertifikate widerrufen und die Systeme wurden, wo nötig, korrigiert oder ersetzt“, so AnyDesk in einer Erklärung. „Wir werden das bisherige Code-Signing-Zertifikat für unsere Binärdateien in Kürze widerrufen und haben bereits damit begonnen, es durch ein neues zu ersetzen.“ Vorsichtshalber hat AnyDesk auch alle Passwörter für sein Webportal my.anydesk[.]com widerrufen und fordert die Nutzer auf, ihre Passwörter zu ändern, wenn diese bei anderen Online-Diensten wiederverwendet wurden. AnyDesk empfiehlt seinen Nutzern außerdem, die neueste Version der Software herunterzuladen, die mit einem neuen Code-Signing-Zertifikat ausgestattet ist.
Das Unternehmen hat nicht offengelegt, wann und wie seine Produktionssysteme kompromittiert wurden. Es ist derzeit unklar, ob bei dem Hack Informationen gestohlen wurden. Das Unternehmen hat jedoch betont, dass es keine Beweise dafür gibt, dass die Systeme der Endbenutzer betroffen waren.
Günter Born von BornCity berichtete, dass bei AnyDesk ab dem 30.1.2024 eine Wartung lief. Das Problem wurde laut AnyDesk bereits am 1. Februar behoben. Zuvor hatte das Unternehmen am 24. Januar seine Benutzer vor „zeitweiligen Zeitüberschreitungen“ und „Serviceverschlechterungen“ in seinem Kundenportal gewarnt.
AnyDesk zählt über 170.000 Kunden, darunter Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam und Thales.
Die Enthüllung erfolgte einen Tag nach der Ankündigung von Cloudflare, dass ein mutmaßlicher Angreifer mit gestohlenen Anmeldedaten unbefugten Zugang zu seinem Atlassian-Server erlangt hatte und schließlich auf einige Dokumente und eine begrenzte Menge an Quellcode zugreifen konnte.
Die Cybersecurity-Firma Resecurity hat zwei Bedrohungsakteure identifiziert, von denen einer unter dem Online-Alias „Jobaaaaa“ eine „beträchtliche Anzahl von AnyDesk-Kundenanmeldeinformationen zum Verkauf bei Exploit[.]in“ angeboten hat. Es wurde festgestellt, dass diese Anmeldeinformationen für „technischen Support-Betrug und Mailing (Phishing)“ verwendet werden könnten.
Der Bedrohungsakteur bietet 18.317 Konten für 15.000 US-Dollar in Kryptowährung an und stimmt außerdem einem Deal über ein Treuhandkonto auf dem Cybercrime-Forum zu. „Bemerkenswert ist, dass die Zeitstempel, die auf den vom Akteur geteilten Screenshots zu sehen sind, einen erfolgreichen unbefugten Zugriff am 3. Februar 2024 (nach der Offenlegung des Vorfalls) zeigen“, so Resecurity. Es sei gut möglich, dass noch nicht alle Kunden ihre Zugangsdaten geändert haben.
Es ist unklar, wie die Zugangsdaten erlangt wurden, aber Resecurity ist sicher, dass Cyberkriminelle versuchen werden, verfügbare Kundenzugangsdaten schnell zu Geld zu machen, da die Passwörter zurückgesetzt werden können.