Siber Muhbir

Alman şirket, bir güvenlik denetiminin ardından keşfettiği olayın bir fidye yazılımı saldırısı olmadığını ve ilgili makamları bilgilendirdiğini söyledi.

Şirket yaptığı açıklamada, "Güvenlikle ilgili tüm sertifikaları iptal ettik ve sistemler gerektiğinde düzeltildi veya değiştirildi" dedi. "İkili dosyalarımız için önceki kod imzalama sertifikasını kısa süre içinde iptal edeceğiz ve onu yenisiyle değiştirmeye başladık."

AnyDesk, çok dikkatli bir şekilde, web portalı my.anydesk'in tüm şifrelerini de iptal etti[.] com ve aynı şifreler diğer çevrimiçi hizmetlerde yeniden kullanılmışsa, kullanıcıları şifrelerini değiştirmeye çağırıyor.

Ayrıca, kullanıcıların yeni bir kod imzalama sertifikasıyla birlikte gelen yazılımın en son sürümünü indirmelerini tavsiye ediyor.

AnyDesk, üretim sistemlerinin ne zaman ve nasıl ihlal edildiğini açıklamadı. Saldırının ardından herhangi bir bilginin çalınıp çalınmadığı şu anda bilinmiyor. Ancak, herhangi bir son kullanıcı sisteminin etkilendiğine dair bir kanıt olmadığını vurguladı.

Bu haftanın başlarında, BornCity'den Günter Born, AnyDesk'in 29 Ocak'tan beri bakımda olduğunu açıkladı. Sorun 1 Şubat'ta giderildi. Daha önce 24 Ocak'ta şirket, Müşteri Portalı ile kullanıcıları "aralıklı zaman aşımları" ve "hizmet düşüşü" konusunda da uyarmıştı.

AnyDesk, Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam ve Thales dahil olmak üzere 170.000'den fazla müşteriye sahiptir.

Açıklama, Cloudflare'in Atlassian sunucusuna yetkisiz erişim elde etmek ve nihayetinde bazı belgelere ve sınırlı miktarda kaynak koduna erişmek için çalınan kimlik bilgilerini kullanan şüpheli bir ulus devlet saldırganı tarafından ihlal edildiğini söylemesinden bir gün sonra geldi.

Güncelleştirmek

Siber güvenlik firması Resecurity, biri çevrimiçi takma adı "Jobaaaaa" olan iki tehdit aktörü bulduğunu ve "Exploit'te satılık önemli sayıda AnyDesk müşteri kimlik bilgisinin reklamını yaptığını söyledi. "teknik destek dolandırıcılığı ve postalama (kimlik avı)" için kullanılabileceğini belirtti.

Tehdit aktörünün, siber suç forumunda emanet yoluyla bir anlaşmayı kabul etmenin yanı sıra 15.000 dolarlık kripto para birimi için 18.317 hesap teklif ettiği tespit edildi.

Şirket, "Özellikle, aktör tarafından paylaşılan ekran görüntülerinde görünen zaman damgaları, 3 Şubat 2024 tarihli başarılı yetkisiz erişimi gösteriyor (olay sonrası ifşa)" dedi. "Tüm müşterilerin erişim kimlik bilgilerini değiştirmemiş olması veya bu mekanizmanın etkilenen taraflarca hala devam ediyor olması mümkündür."

Kimlik bilgilerinin nasıl elde edildiği belli değil, ancak Resecurity, siber suçluların parolaların sıfırlanabileceği gerçeği ışığında mevcut müşteri kimlik bilgilerinden para kazanmak için acele edebileceğini söyledi.

AnyDesk, Siber Saldırıdan Sonra Yazılımın "Kullanımı Güvenli" Dedi

AnyDesk, yorum için ulaşıldığında yeni kamuoyu açıklamasına yönlendirdi ve aracının "resmi kaynaklardan" elde edilen tüm sürümlerinin kullanımının güvenli olduğunu söyledi. Ayrıca müşterilerin en son 7.0.15 ve 8.0.8 sürümlerini indirmeleri önerilir.

Şirket tarafından yayınlanan ayrı bir SSS'ye göre olayın, Ocak 2024'ün ortalarında meydana geldiği ve nihayetinde güvenliği ihlal edilmiş üretim sistemlerine dair kanıt bulan bir güvenlik denetimi yapmasına neden olduğu söyleniyor.

Ayrıca, kaynak kodunda herhangi bir kötü amaçlı değişiklik gözlemlemediğini veya herhangi bir AnyDesk sistemi aracılığıyla müşterilere kötü amaçlı kod dağıtıldığına dair kanıt görmediğini vurguladı.

AnyDesk ayrıca, dark web'de satılan kullanıcı kimlik bilgilerinin raporlarının olayla doğrudan bağlantılı olmadığını da vurguladı. Şirket, "Daha ziyade, kötü amaçlı yazılım bulaşmış son kullanıcı cihazlarından, örneğin bilgi hırsızlarından elde edilen eski bilgiler gibi görünüyorlar" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.