O fornecedor de software de desktop remoto AnyDesk confirmou na sexta-feira que um ataque cibernético permitiu que hackers obtivessem acesso aos sistemas de produção da empresa, colocando a empresa em bloqueio por quase uma semana.
O software AnyDesk é usado por milhões de profissionais de TI para conectar-se rápida e remotamente aos dispositivos de seus clientes, muitas vezes para ajudar com problemas técnicos. Em seu site, AnyDesk afirma ter mais de 170.000 clientes, incluindo Comcast, LG, Samsung e Thales.
O software também é uma ferramenta popular entre agentes de ameaças e gangues de ransomware, que há muito usam o software para obter e manter acesso ao computador e aos dados da vítima. A agência de segurança cibernética dos EUA, CISA, disse em janeiro que hackers comprometeram agências federais usando software legítimo de desktop remoto, incluindo AnyDesk.
As notícias da suspeita de violação começaram a se espalhar na segunda-feira passada, quando a AnyDesk anunciou que havia trocado seus certificados de assinatura de código, que as empresas usam para evitar que hackers adulterem seu código. Após uma interrupção de vários dias, a AnyDesk confirmou em comunicado na noite de sexta-feira que a empresa “encontrou evidências de sistemas de produção comprometidos”.
AnyDesk disse que, como parte de sua resposta a incidentes, a empresa revogou todos os certificados relacionados à segurança, corrigiu ou substituiu sistemas quando necessário e invalidou todas as senhas do portal do cliente AnyDesk.
“Em breve revogaremos o certificado de assinatura de código anterior para nossos binários e já começamos a substituí-lo por um novo”, acrescentou a empresa na sexta-feira.
AnyDesk disse que o incidente não está relacionado ao ransomware, mas não revelou a natureza específica do ataque cibernético.
O porta-voz do AnyDesk, Matthew Caldwell, não respondeu a um e-mail do TechCrunch. CrowdStrike, que está trabalhando com AnyDesk para remediar o ataque cibernético, recusou-se a responder às perguntas do TechCrunch quando contatado na segunda-feira.
AnyDesk não respondeu às perguntas sobre se algum dado do cliente foi acessado, embora a empresa tenha afirmado em seu comunicado que “não há evidências de que algum sistema do usuário final tenha sido afetado”.
“Podemos confirmar que a situação está sob controle e é seguro usar o AnyDesk”, disse AnyDesk. “Certifique-se de estar usando a versão mais recente, com o novo certificado de assinatura de código”.
AnyDesk já enfrentou críticas pela forma como lidou com o ataque cibernético até agora. Conforme relatado pela primeira vez pelo blogueiro alemão Günter Born, AnyDesk inicialmente alegou que os quatro dias de interrupção a partir de 29 de janeiro, durante os quais a empresa bloqueou a capacidade de login dos usuários, eram “manutenção”. Jake Williams, um veterano respondedor de incidentes, acusou AnyDesk em uma postagem no X de fazer uma “movimento de relações públicas” ao divulgar o ataque cibernético aos clientes pouco antes do fim de semana.
Pesquisadores de segurança dizem que hackers estão vendendo acesso a contas AnyDesk supostamente afetadas pela violação em fóruns conhecidos de crimes cibernéticos, mas também observam que os detalhes da conta roubada provavelmente são provenientes de infecções anteriores de malware envolvendo malware para roubo de senha no computador de um usuário.