Caso do AnyDesk: Que medidas os utilizadores devem tomar para se protegerem contra estes ataques?
No passado dia 2 de fevereiro deste ano, a popular ferramenta de acesso remoto AnyDesk sofreu um ataque informático que comprometeu os seus sistemas de produção. Embora a AnyDesk não tenha revelado detalhes específicos sobre a causa principal do ataque, as medidas tomadas para o atenuar, como a redefinição obrigatória das passwords e a renovação do certificado de assinatura de código, sugerem que os cibercriminosos obtiveram a estas informações.
A AnyDesk também aconselhou os utilizadores a alterarem as suas credenciais se as tivessem utilizado noutras plataformas. Além disso, pediu-lhes que não descarregassem nenhum software ou atualizações de websites não seguros e que atualizassem para a versão mais recente do software com novos certificados de assinatura de código.
Que riscos correm os utilizadores?
Quando os cibercriminosos têm acesso ao código fonte e ao código de assinatura de uma empresa, existe um risco elevado de utilizarem esses mesmos códigos para efetuar um ataque à cadeia de fornecimento. Isto implicaria a inserção de um código malicioso no software da AnyDesk e a sua assinatura com o certificado roubado, fazendo com que os ficheiros maliciosos pareçam legítimos. Em seguida, poderiam distribuir o software infetado aos clientes da AnyDesk, resultando num ataque em grande escala.
Surgiu também outro risco que não está relacionado com o ataque do início do ano, mas que mantém o foco no software AnyDesk. Foi detetado um esquema em que os piratas informáticos identificam as suas vítimas dentro da empresa e depois contactam-nas por email ou mensagem de texto. A partir destes meios, direcionam as suas vítimas para um website falso que imita o design da sua instituição financeira onde lhes é pedido que descarreguem um programa que parece ser uma aplicação de 'live chat', mas que na realidade é um software de controlo remoto AnyDesk desatualizado. Ao executá-lo, o cibercriminoso pode controlar o dispositivo da vítima e realizar ações como se fosse a própria vítima. Foram detetados domínios falsos de diferentes bancos utilizando este método.
3 passos que os utilizadores devem adotar para se protegerem
As soluções remotas de monitorização e gestão (RMM) são ferramentas essenciais para os fornecedores de serviços geridos (MSP), permitindo-lhes monitorizar e gerir os endpoints e implementar software nos computadores dos seus clientes. No entanto, estas soluções são também atrativas para os cibercriminosos, que as utilizam para aceder às redes empresariais e obter informações sensíveis.
Nas últimas semanas, a AnyDesk tem estado no centro das atenções. Primeiro, por ter sido vítima de um ciberataque e, depois, porque o seu software foi utilizado para levar a cabo uma nova burla. Tendo em conta o que aconteceu, se é utilizador deste software, aconselhamos que tome as seguintes medidas:
-
Atualize o seu software AnyDesk:
Para mitigar os riscos associados à violação, é necessário atualizar este software para a versão mais recente, com o novo certificado de assinatura de código. Para facilitar esta tarefa, o WatchGuard Patch Management permite-lhe gerir vulnerabilidades em sistemas operativos e software de terceiros em computadores e servidores Windows, macOS e Linux, bem como saber qual a versão do programa e em que computadores está instalado. Isto facilita a identificação de dispositivos que necessitam de atualizações ou desinstalações de software, especialmente em empresas com políticas de segurança que restringem o acesso remoto a aplicações.
-
Altere as passwords do AnyDesk e capacitar a Autenticação Multifatorial (MFA):
O reforço da segurança do utilizador começa com a implementação de protocolos de acesso robustos. Isto implica a adoção de passwords únicas e complexas, juntamente com a utilização generalizada de MFA como uma primeira linha de defesa crítica.
-
Utilizar uma solução avançada de segurança de endpoints:
Para evitar ser vítima da campanha de phishing que envolve o software AnyDesk, é aconselhável ter uma solução avançada de segurança de endpoints, incluindo a deteção de contexto para ataques sem malware. Esta funcionalidade analisa o contexto de uma ação ou evento e determina se é malicioso, mesmo que não exista nenhum malware detetável.
Se quiser saber mais sobre este tema, consulte os seguintes artigos no nosso blog: