Pembuat perangkat lunak desktop jarak jauh AnyDesk mengungkapkan pada hari Jumat bahwa mereka mengalami serangan cyber yang menyebabkan gangguan pada sistem produksinya
Perusahaan Jerman tersebut mengatakan bahwa insiden tersebut, ditemukan setelah dilakukannya audit keamanan, bukanlah serangan ransomware dan telah diberitahukan kepada otoritas terkait
"Kami telah mencabut semua sertifikat terkait keamanan dan sistem telah diperbaiki atau diganti jika diperlukan," kata perusahaan tersebut dalam sebuah pernyataan."Kami akan segera mencabut sertifikat penandatanganan kode sebelumnya untuk biner kami dan sudah mulai menggantinya dengan yang baru."
Karena sangat berhati-hati,nyDesk juga telah mencabut semua kata sandi portal webnya, my.anydesk.com, dan mendesak pengguna untuk mengubah kata sandi mereka jika kata sandi yang sama telah digunakan kembali pada layanan online lainnya.
AnyDesk juga merekomendasikan pengguna untuk mengunduh versi terbaru perangkat lunaknya, yang dilengkapi dengan sertifikat penandatanganan kode baru.
AnyDesk tidak mengungkapkan kapan dan bagaimana sistem produksinya diretas.Saat ini belum diketahui apakah ada informasi yang dicuri setelah peretasan tersebut. Namun, perusahaan menekankan bahwa tidak ada bukti bahwa sistem pengguna akhir terkena dampaknya.
Minggu ini, Günter Born dari BornCity mengungkapkan bahwa AnyDesk sedang dalam pemeliharaan sejak 29 Januari.Masalah ini diatasi pada 1 Februari. Sebelumnya, pada 24 Januari, perusahaan juga memberi tahu pengguna tentang "timeout intermittan" dan "degradasi layanan" dengan Portal Pelanggan mereka.
AnyDesk memiliki lebih dari 170.000 pelanggan, termasuk Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam, dan Thales.
Pengungkapan ini datang sehari setelah Cloudflare mengatakan bahwa mereka diretas oleh penyerang negara yang diduga menggunakan kredensial curian untuk mendapatkan akses tidak sah ke server Atlassian mereka dan akhirnya mengakses beberapa dokumentasi dan sejumlah kecil kode sumber yang terbatas.
Update
Perusahaan keamanan cyber Resecurity mengatakan bahwa mereka menemukan dua pelaku ancaman, salah satunya menggunakan nama samaran online "Jobaaaaa," yang mengiklankan "sejumlah besar kredensial pelanggan AnyDesk untuk dijual di Exploit.in," mencatat bahwa hal tersebut bisa digunakan untuk "penipuan dukungan teknis dan pengiriman (phishing)."
Pelaku ancaman telah ditemukan menawarkan 18.317 akun dengan harga $15.000 dalam cryptocurrency, serta menyetujui kesepakatan melalui escrow di forum kejahatan cyber.
"Khususnya, stempel waktu yang terlihat pada tangkapan layar yang dibagikan oleh pelaku mengilustrasikan akses tidak sah yang berhasil pada tanggal 3 Februari 2024 (pengungkapan pasca-insiden)," kata perusahaan tersebut. "Mungkin tidak semua pelanggan telah mengubah kredensial akses mereka, atau mekanisme ini masih berlangsung oleh pihak yang terkena dampak."
Tidak jelas bagaimana kredensial tersebut diperoleh, tetapi Resecurity mengatakan bahwa para penjahat cyber mungkin bergegas untuk memonetisasi kredensial pelanggan yang tersedia mengingat fakta bahwa kata sandi dapat diatur ulang.
AnyDesk Mengatakan Perangkat Lunak "Aman Digunakan" Setelah Serangan Siber
Ketika dimintai komentar, AnyDesk mengarahkan The Hacker News ke pernyataan publik baru mereka, yang mengatakan bahwa semua versi alat mereka yang diperoleh dari "sumber resmi" tetap aman digunakan. Mereka juga merekomendasikan agar pengguna mengunduh versi terbaru 7.0.15 dan 8.0.8.
Menurut FAQ terpisah yang diposting oleh perusahaan, insiden tersebut dilaporkan terjadi pada pertengahan Januari 2024, yang mendorong mereka untuk melakukan audit keamanan yang akhirnya menemukan bukti sistem produksi yang disusupi.
Mereka juga menegaskan bahwa mereka tidak mengamati adanya modifikasi jahat pada kode sumber mereka, dan tidak ada bukti penyebaran kode jahat kepada pelanggan melalui sistem AnyDesk mana pun.
AnyDesk juga menyoroti bahwa laporan tentang kredensial pengguna yang dijual di DarkWeb tidak secara langsung terhubung dengan insiden tersebut. "Lebih tepatnya, mereka tampaknya merupakan informasi lama yang diperoleh dari perangkat pengguna akhir yang terinfeksi malware, misalnya, pencuri informasi," kata perusahaan tersebut.
Sumber https://thehackernews.com/2024/02/anydesk-hacked-popular-remote-desktop.html
Sumber https://thehackernews.com/2024/02/anydesk-hacked-popular-remote-desktop.html