El proveedor de software de escritorio remoto AnyDesk confirmó el viernes por la noche que un ciberataque permitió a los piratas informáticos obtener acceso a los sistemas de producción de la empresa, lo que la cerró durante casi una semana.
Millones de profesionales de TI utilizan el software AnyDesk para conectarse de forma rápida y remota a los dispositivos de sus clientes, a menudo para ayudar con problemas técnicos. En su sitio web, AnyDesk afirma tener más de 170.000 clientes, incluidos Comcast, LG, Samsung y Thales.
El software también es una herramienta popular entre los actores de amenazas y las bandas de ransomware, que lo han utilizado durante mucho tiempo para obtener y mantener el acceso a la computadora y los datos de la víctima. La agencia estadounidense de ciberseguridad CISA dijo en enero que los piratas informáticos habían comprometido agencias federales utilizando software de escritorio remoto legítimo, incluido AnyDesk.
La noticia de la sospecha de violación comenzó a difundirse el lunes pasado cuando AnyDesk anunció que había intercambiado sus certificados de firma de código, que las empresas utilizan para evitar que los piratas informáticos alteren su código. Después de una interrupción de varios días, AnyDesk confirmó en un comunicado el viernes por la noche que la compañía había «encontrado evidencia de sistemas de producción comprometidos».
AnyDesk dijo que como parte de su respuesta al incidente, la compañía revocó todos los certificados relacionados con la seguridad, reparó o reemplazó los sistemas cuando fue necesario e invalidó todas las contraseñas del portal web para clientes de AnyDesk.
«En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo», agregó la compañía el viernes.
AnyDesk dijo que el incidente no está relacionado con ransomware, pero no reveló la naturaleza específica del ciberataque.
El portavoz de AnyDesk, Matthew Caldwell, no respondió a un correo electrónico de TechCrunch. CrowdStrike, que está trabajando con AnyDesk para remediar el ciberataque, se negó a responder las preguntas de TechCrunch cuando se le contactó el lunes.
AnyDesk no respondió a las preguntas sobre si se accedió a los datos de algún cliente, aunque la compañía dijo en su comunicado que «no hay evidencia de que algún sistema de usuario final haya sido afectado».
«Podemos confirmar que la situación está bajo control y que es seguro utilizar AnyDesk», dijo AnyDesk. «Asegúrese de estar utilizando la última versión, con el nuevo certificado de firma de código».
AnyDesk ya ha enfrentado críticas por su manejo del ciberataque hasta el momento. Como informó por primera vez el blogger alemán Günter Born, AnyDesk inicialmente reclamado Los cuatro días de interrupción que comenzaron el 29 de enero, durante los cuales la compañía impidió a los usuarios iniciar sesión, fueron «mantenimiento». Jake Williams, un veterano respondedor de incidentes, acusó a AnyDesk en una publicación en X de realizar un “movimiento de relaciones públicas” al revelar el ciberataque a los clientes justo antes del fin de semana.
Los investigadores de seguridad dicen que los piratas informáticos están vendiendo acceso a cuentas de AnyDesk supuestamente afectadas por la violación en foros conocidos de delitos cibernéticos, pero también señalan que los detalles de las cuentas robadas probablemente provienen de infecciones de malware anteriores que involucran malware de robo de contraseñas en la computadora de un usuario.
¿Tiene más información sobre este incidente? Puede comunicarse con Carly Page de forma segura en Signal al +441536 853968 o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.