Piratage d’Anydesk : identifiants en vente
Anydesk, éditeur de logiciels de prise en main à distance de PC a été touché par un piratage informatique. Si tous les certificats et systèmes de sécurité ont été révisés ou remplacés, des données ont été volées et sont en vente sur le dark web.
L’éditeur spécialisé dans les logiciels de prise en main de bureau à distance a annoncé le 2 février avoir trouvé une preuve que son SI a été compromis. « Nous avons immédiatement activé un plan de remédiation et de réponse impliquant les experts en cybersécurité de CrowdStrike. Ce plan a été mené à bien. Les autorités compétentes ont été informées et nous travaillons en étroite collaboration avec elles », a expliqué l’éditeur. La compromission remonterait au moins jusqu’au 29 janvier 2024, date à laquelle la société a désactivé la connexion au service my.anydesk pour « raison de maintenance ».
Suite à cette attaque informatique, Anydesk a révoqué tous les certificats liés à la sécurité et ses systèmes ont été nettoyés ou remplacés le cas échéant. « Nous allons bientôt révoquer le précédent certificat de signature de code pour nos binaires et avons déjà commencé à le remplacer par un nouveau », a par ailleurs indiqué le fournisseur. « Nos systèmes sont conçus pour ne pas stocker de clés privées, de jetons de sécurité ou de mots de passe qui pourraient être exploités pour se connecter aux terminaux des utilisateurs finaux. Par mesure de précaution, nous révoquons tous les mots de passe de notre portail web, my.anydesk.com, et nous recommandons aux utilisateurs de changer leurs mots de passe si les mêmes informations d’identification sont utilisées ailleurs ». Parmi ses 170 000 clients on trouve Comcast, le MIT, les Nations Unies ou encore Nvidia, Samsung et Siemens.
Des compromissions de comptes Anydesk exposées sur le dark web
« Il est possible que les cybercriminels au courant de l’incident se dépêchent de monnayer les informations d’identification des clients disponibles sur le dark web et acquises auprès de différentes sources », indique Security Affairs. « Ces données pourraient être extrêmement précieuses pour des brokers spécialisés en accès initial et les groupes de ransomware qui connaissent bien Anydesk, souvent utilisé comme l’un des outils après une intrusion réussie dans un réseau. Notamment, selon le contexte supplémentaire fourni par l’acteur, la majorité des comptes exposés sur le dark web n’avaient pas activé la fonction 2FA ».