Что случилось?
Речь идет о немецкой программе AnyDesk, которая позволяет управлять одним компьютером с другого. Инцидент обнаружили после аудита безопасности, он не является атакой с целью вымогательства выкупа. Однако какой тогда была ее цель и когда именно это произошло, компания не говорит – возможно, потому, что не знает сама.
Смотрите также Хакеры атаковали офис прокурора, которая ведет дело Дональда Трампа
Пока неизвестно, была ли похищена какая-то информация в результате взлома. Однако компания подчеркнула, что нет никаких доказательств того, что пострадали системы конечных пользователей.
Ранее на этой неделе известный программист Гюнтер Борн в своем блоге BornCity сообщил, что сервис AnyDesk находился на техническом обслуживании с 29 января. Неизвестная на то время проблема была решена 1 февраля. Ранее, 24 января, компания также предупреждала пользователей о "периодических тайм-аутах" и "ухудшении качества обслуживания" через свой клиентский портал.
AnyDesk насчитывает более 170 000 клиентов, среди которых Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam и Thales. Кроме того, программой пользуются и отдельные лица, которые не представляют крупные компании.
Разработчики отозвали все сертификаты, связанные с безопасностью и провели ряд мероприятий в устранение последствий. Компания призывает пользователей изменить свои пароли, а также загрузить последнюю версию программного обеспечения, которая поставляется с новым сертификатом подписания кода.
Хакер выдал себя сам?
Тем временем на одном из преступных форумов в даркнете появился неизвестный, который предложил купить данные, якобы похищенные у AnyDesk. Компания по кибербезопасности Resecurity сообщила, что обнаружила двух злоумышленников, один из которых пользуется псевдонимом "Jobaaaaa". Он рекламирует "значительное количество учетных данных клиентов AnyDesk для продажи, отмечая, что они могут быть использованы для "мошенничества с технической поддержкой и рассылки (фишинга)". Злоумышленник предлагал 18 317 учетных записей за 15 000 долларов в криптовалюте.
Временные метки на скриншотах, которыми поделился злоумышленник, иллюстрируют успешный несанкционированный доступ, датированный 3 февраля 2024 года, то есть уже после раскрытия инцидента в СМИ. Resecurity считают, что киберпреступники могут спешить монетизировать имеющиеся учетные данные клиентов, поскольку пароли могут быть сброшены.