Що сталося
Мова йде про німецьку програму AnyDesk, яка дозволяє керувати одним комп'ютером з іншого. Інцидент виявили після аудиту безпеки, він не є атакою з метою вимагання викупу. Однак якою тоді була її ціль і коли саме це сталося, компанія не каже – можливо, тому, що не знає сама.
Дивіться також Хакери атакували офіс прокурорки, яка веде справу Дональда Трампа
Наразі невідомо, чи була викрадена якась інформація в результаті зламу. Однак компанія підкреслила, що немає жодних доказів того, що постраждали системи кінцевих користувачів.
Раніше цього тижня відомий програміст Гюнтер Борн у своєму блозі BornCity повідомив, що сервіс AnyDesk перебував на технічному обслуговуванні з 29 січня. Невідома на той час проблема була вирішена 1 лютого. Раніше, 24 січня, компанія також попереджала користувачів про "періодичні тайм-аути" та "погіршення якості обслуговування" через свій клієнтський портал.
AnyDesk налічує понад 170 000 клієнтів, серед яких Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam і Thales. Крім того, програмою користуються й окремі особи, які не представляють великі компанії.
Розробники відкликали всі сертифікати, пов'язані з безпекою та провели ряд заходів в усунення наслідків. Компанія закликає користувачів змінити свої паролі, а також завантажити останню версію програмного забезпечення, яка постачається з новим сертифікатом підписання коду.
Хакер видав себе сам?
Тим часом на одному зі злочинних форумів у даркнеті з'явився невідомий, який запропонував купити дані, нібито викрадені у AnyDesk. Компанія з кібербезпеки Resecurity повідомила, що виявила двох зловмисників, один з яких користується псевдонімом "Jobaaaaa". Він рекламує "значну кількість облікових даних клієнтів AnyDesk для продажу, зазначаючи, що вони можуть бути використані для "шахрайства з технічною підтримкою та розсилки (фішингу)". Зловмисник пропонував 18 317 облікових записів за 15 000 доларів у криптовалюті.
Часові мітки на скриншотах, якими поділився зловмисник, ілюструють успішний несанкціонований доступ, датований 3 лютого 2024 року, тобто вже після розкриття інциденту в ЗМІ. Resecurity вважають, що кіберзлочинці можуть поспішати монетизувати наявні облікові дані клієнтів, оскільки паролі можуть бути скинуті.