На 2 февруари популярният инструмент за отдалечен достъп AnyDesk съобщи, че е претърпял кибератака, която е компрометирала производствените му системи.
Въпреки че AnyDesk не разкри конкретни подробности за основната причина за атаката, предприетите мерки за нейното ограничаване, като например задължителното нулиране на пароли и подновяване на сертификата за подписване на код, предполагат, че киберпрестъпниците са получили достъп до потребителските пароли и сертификата за подписване на код на компанията.
AnyDesk също така посъветва потребителите да сменят паролите си, ако са ги използвали на други платформи. Освен това ги помоли да не изтеглят софтуер или актуализации от незащитени уебсайтове на трети страни и да преминат към най-новата версия на софтуера с нови сертификати за подписване на код.
Пред какви рискове са изправени потребителите?
След като хакерите успеят да получат достъп до изходния код и кода за подписване на дадена компания, съществува голям риск те да ги използват за извършване на атака по веригата на доставки. Това би включвало вмъкване на зловреден код в софтуера на AnyDesk и подписването му с откраднатия сертификат, което ще направи зловредните файлове да изглеждат легитимни. След това те биха могли да разпространят заразения софтуер сред клиентите на AnyDesk, което би довело до мащабна атака.
Появи се и друг риск, който не е свързан с атаката по-рано тази година, но продължава да се фокусира върху софтуера на AnyDesk.
Неотдавна беше открит вид измама, при която хакерите идентифицират жертвите си в рамките на компанията и след това се свързват с тях чрез имейл или текстово съобщение. След това съобщението ги отвежда до фалшив уебсайт, който имитира тяхната банка или финансова институция. За да получат помощ, те са помолени да изтеглят програма, която изглежда като приложение за „чат на живо“, но всъщност е остарял софтуер за дистанционно управление AnyDesk. Като го стартира, киберпрестъпникът може да контролира устройството на жертвата и да извършва действия, сякаш е жертвата. Фалшиви домейни на различни банки са открити при използването на същия метод.
3 стъпки, които трябва да предприемете, за да се защитите
Решенията за дистанционно наблюдение и управление (RMM) са основни инструменти за доставчиците на управлявани услуги (MSP), които им позволяват да наблюдават и управляват крайни точки и да внедряват софтуер на компютрите на своите клиенти. Тези решения обаче са привлекателни и за киберпрестъпниците, които ги използват, за да получат достъп до корпоративни мрежи и да получат чувствителна информация.
През последните седмици AnyDesk е в центъра на вниманието. Първо, защото стана жертва на кибератака, а след това и защото софтуерът ѝ беше използван за извършване на нова измама. В светлината на случилото се, ако сте потребител на този софтуер, ви съветваме да предприемете следните мерки:
Актуализирайте софтуера си AnyDesk:
За да намалите рисковете, свързани с нарушението, трябва да актуализирате този софтуер до най-новата версия с новия сертификат за подписване на код. За да улесните тази задача, WatchGuard Patch Management ви позволява да управлявате уязвимостите в операционните системи и софтуера на трети страни на компютри и сървъри с Windows, macOS и Linux, както и да знаете коя е версията на програмата и на кои компютри е инсталирана. Това улеснява идентифицирането на устройствата, които се нуждаят от софтуерни актуализации или деинсталации, особено в компании с политики за сигурност, които ограничават отдалечения достъп до приложения.
Променете паролите си за AnyDesk и активирайте MFA:
Засилването на сигурността на потребителите започва с прилагането на надеждни протоколи за достъп. Това включва приемането на уникални и сложни пароли, както и широкото използване на MFA като важна първа линия на защита.
Използвайте усъвършенствано решение за сигурност на крайни точки:
За да не станете жертва на фишинг кампанията, включваща софтуера AnyDesk, е препоръчително да разполагате с усъвършенствано решение за защита на крайните точки, включващо откриване на контекст за атаки, които не са свързани с малуер. Тази функция анализира контекста на дадено действие или събитие и определя дали то е злонамерено, дори и да няма откриваем зловреден софтуер.