Feb 05, 2024 Attacchi, Minacce, News, Phishing, RSS

I ricercatori di Resecurity hanno individuato diversi gruppi cybercriminali che stanno vendendo migliaia di credenziali AnyDesk suli forum del dark web; uno di questi, conosciuto come “Jobaaaaa”, ha messo in vendita più di 18.000 credenziali dei consumatori della compagnia.

Lo scorso 2 febbraio AnyDesk  aveva reso noto di essere stata colpita da un attacco che ha compromesso i sistemi di produzione. La compagnia è riuscita a ripristinare la corretta funzionalità dei sistemi. In seguito il team di Resecurity, analizzando l’attacco, ha scoperto il vero impatto dell’incidente di sicurezza individuando numerose compravendite relative alle credenziali AnyDesk. 

Secondo i ricercatori il leak è avvenuto in seguito a una serie di infezioni tramite infostealer. Usando le credenziali a disposizione, i cybercriminali possono accedere al portale della compagnia e ottenere informazioni dei clienti come la chiave di licenza, il numero delle connessioni attive, il customer ID, le email associate all’account e la lista di host connessi.

“Questa minaccia è particolarmente amplificata dal rischio che i cybercriminali utilizzino tecniche avanzate per ottenere e mantenere l’accesso a uno o più account di amministratore” spiegano i ricercatori, sottolineando l’impatto dell’attacco. “Questo scenario ha il potenziale di evolvere in un attacco alla supply-chain devastante che impatta i consumatori AnyDesk enterprise”.

Le credenziali permettono ai cybercriminali di perpetrare nuovi attacchi, come campagne mirate di phishing per compromettere altri account aziendali e ampliare il raggio d’azione.

I ricercatori di Resecurity hanno scoperto alcuni accessi sospetti al portale il 3 febbraio, il giorno dopo la notifica dell’attacco, specificando che non tutti i clienti AnyDesk hanno aggiornato le loro credenziali nonostante l’avviso della compagnia. “È da sottolineare che Resecurity ha scoperto, attraverso ulteriori interazioni con i responsabili dell’attacco, che la maggior parte degli account AnyDesk esposti elencati nel Dark Web non aveva la 2FA abilitata“.

AnyDesk ha revocato tutti i certificati di sicurezza e le password, invitando gli utenti ad aggiornarle, soprattutto se utilizzano le stesse credenziali anche per altri servizi.

Non è la prima volta che i cybercriminali sono riusciti a colpire i sistemi AnyDesk: la compagnia ha spiegato che le frodi e i messaggi di phishing sono comuni e molti consumatori sono rimasti vittime degli attacchi di social engineering.

Secondo l’analisi di Resecurity, i cybercriminali sono interessati a ottenere le credenziali AnyDesk soprattutto per attività di spam, furto di dati bancari, compromissione delle email aziendali e controllo degli account.

Il leak che ha colpito la compagnia potrebbe avere impatti molto seri; per questo è fondamentale che i clienti AnyDesk aggiornino il prima possibile le proprie password. È necessario inoltre implementare misure di sicurezza aggiuntive, come la MFA, e specificare delle whitelist contenenti i soli ID autorizzati a connettersi ai dispositivi.

• 2FA, AnyDesk, furto di credenziali, leak, MFA, Password, Phishing, social engineering