Der Remote-Desktop-Softwareanbieter AnyDesk bestätigte am späten Freitag, dass ein Cyberangriff es Hackern ermöglicht habe, auf die Produktionssysteme des Unternehmens zuzugreifen, wodurch das Unternehmen fast eine Woche lang gesperrt wurde.
Die Software von AnyDesk wird von Millionen von IT-Experten verwendet, um schnell und aus der Ferne eine Verbindung zu den Geräten ihrer Kunden herzustellen, oft um bei technischen Problemen zu helfen. An seine WebsiteAnyDesk hat nach eigenen Angaben mehr als 170.000 Kunden, darunter Comcast, LG, Samsung und Thales.
Die Software ist auch ein beliebtes Tool bei Bedrohungsakteuren und Ransomware-Banden, die die Software seit langem nutzen, um Zugriff auf den Computer und die Daten eines Opfers zu erhalten und aufrechtzuerhalten. Die US-amerikanische Cybersicherheitsbehörde CISA teilte im Januar mit, dass Hacker Bundesbehörden mithilfe legitimer Remote-Desktop-Software, darunter AnyDesk, kompromittiert hätten.
Die Nachricht über den mutmaßlichen Verstoß begann sich letzten Montag zu verbreiten, als AnyDesk dies bekannt gab es hatte seine Code-Signing-Zertifikate ausgetauscht, mit dem Unternehmen verhindern, dass Hacker ihren Code manipulieren. Nach einem tagelangen Ausfall hat AnyDesk in einer Stellungnahme bestätigt Am späten Freitag hieß es, das Unternehmen habe „Hinweise auf kompromittierte Produktionssysteme gefunden“.
AnyDesk sagte, dass das Unternehmen im Rahmen seiner Reaktion auf den Vorfall alle sicherheitsrelevanten Zertifikate widerrufen, Systeme bei Bedarf repariert oder ersetzt und alle Passwörter für das Kunden-Webportal von AnyDesk ungültig gemacht habe.
„Wir werden in Kürze das bisherige Codesignaturzertifikat für unsere Binärdateien widerrufen und haben bereits damit begonnen, es durch ein neues zu ersetzen“, fügte das Unternehmen am Freitag hinzu.
AnyDesk sagte, der Vorfall stehe nicht im Zusammenhang mit Ransomware, machte jedoch keine Angaben zur konkreten Art des Cyberangriffs.
AnyDesk-Sprecher Matthew Caldwell antwortete nicht auf eine E-Mail von Tech. CrowdStrike, das mit AnyDesk an der Behebung des Cyberangriffs arbeitet, lehnte es ab, die Fragen von Tech zu beantworten, als es am Montag eintraf.
AnyDesk antwortete nicht auf Fragen, ob auf Kundendaten zugegriffen wurde, obwohl das Unternehmen in seiner Erklärung erklärte, dass es „keine Beweise dafür gebe, dass Endbenutzersysteme betroffen seien“.
„Wir können bestätigen, dass die Situation unter Kontrolle ist und die Verwendung von AnyDesk sicher ist“, sagte AnyDesk. „Bitte stellen Sie sicher, dass Sie die neueste Version mit dem neuen Codesignaturzertifikat verwenden.“
AnyDesk wurde wegen seines bisherigen Umgangs mit dem Cyberangriff bereits kritisiert. Als Zuerst berichtete der deutsche Blogger Günter BornAnyDesk zunächst behauptet Die vier Tage der Störung ab dem 29. Januar, in denen das Unternehmen Benutzern die Möglichkeit verwehrte, sich anzumelden, dienten der „Wartung“. Jake Williams, ein erfahrener Vorfallhelfer, beschuldigte AnyDesk ein Beitrag auf X einen „PR-Schritt“ zu unternehmen, indem es den Kunden den Cyberangriff kurz vor dem Wochenende offenlegte.
Sicherheitsforscher sagen, dass Hacker den Zugriff auf angeblich von der Sicherheitsverletzung betroffene AnyDesk-Konten in bekannten Cyberkriminalitätsforen verkaufen, weisen aber auch darauf hin, dass die gestohlenen Kontodaten wahrscheinlich von früheren Malware-Infektionen stammen, bei denen es um Passwort-Stehlende Malware auf dem Computer eines Benutzers ging.
Haben Sie weitere Informationen zu diesem Vorfall? Sie können Carly Page sicher über Signal unter +441536 853968 oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.