AnyDesk 强制重置用户密码

关键要点

• 由于 18,000 个用户凭据在黑客论坛上被以 15,000 美元出售，远程访问公司 AnyDesk 强制全体 my.anydesk.com 客户重置密码。
• 在 AnyDesk 宣布系统被入侵后，研究人员发现大量用户凭据被泄露。
• 公司采取了补救措施，与网络安全公司 CrowdStrike 合作，确定该事件与勒索软件无关。
• 密码重置是为了防止用户在其他地方使用相同凭据引发的安全风险。

AnyDesk 是一家提供远程访问软件的公司，其服务涵盖从小型企业到全球最大的公司，客户总数达到
170,000。该公司在发现其生产系统被入侵后立即启动了应对计划，并与网络安全公司 CrowdStrike 合作调查事件的影响。

在其中，AnyDesk表示，计划已经成功实施，相关当局已被通知。公司还强调，这起事件与勒索软件无关。

“补救计划已成功完成。相关部门已经知情，我们正与他们密切合作。”公告中表示。

公司表示已经撤销了所有安全相关的证书，并着手撤销之前用于其代码签名的证书，替换为新的证书。

“我们的系统设计不存储可能被利用连接到最终用户设备的私钥、安全令牌或密码。”公司补充道。

“作为预防措施，我们将撤销 my.anydesk.com 的所有密码，并建议用户更改在其他地方使用的相同凭据。”

被迅速售出的珍贵凭据

Resecurity 的研究人员表示，他们在 AnyDesk 公布事件的第二天，在暗网黑客论坛上观察到多个威胁行为者出售被泄露的 AnyDesk 凭据。

据研究人员称，一名威胁行为者以 15,000 美元的加密货币出售超过 18,000个账户和密码。在他们的中提到：

“值得注意的是，该行为者共享的截图上的时间戳显示，未经授权的成功访问发生在 2024 年 2 月 3 日（事件披露后）。”

研究人员指出，熟悉这一事件的网络犯罪分子可能急于通过暗网将客户凭据变现，因为他们知道 AnyDesk 可能会采取主动措施重置凭据。

被盗的凭据对诈骗者、初始访问经纪人和熟悉 AnyDesk 的勒索团伙极具价值。

“AnyDesk 的最终用户包括 IT 管理员，他们经常成为威胁行为者的目标。因此，确保此次网络攻击没有影响这些 IT
管理员可能拥有特权访问的其他关键系统至关重要。”

网络犯罪分子为何青睐 AnyDesk

AnyDesk 可用于远程控制、文件传输和 VPN 功能，常被 IT 支持团队远程服务员工和客户的设备。根据 AnyDesk 的网站，该公司拥有超过
170,000 个客户。

该工具也受到网络犯罪分子的青睐，从参与技术支持诈骗的行为者，到寻求对目标网络进行持续远程访问的黑客，或希望将恶意活动掺杂在正常网络流量中的攻击者。

根据 AnyDesk 的网站，包含那些冒充微软技术人员以清理受害者设备恶意软件的行为者。有些冒充 AnyDesk 支持人员的人也声称，他们希望解决 Windows中的错误，“有时即使用户在 macOS 设备上。”

一旦 AnyDesk 远程连接建立，诈骗者通常会在受害者的机器上投放恶意软件或窃取信息，比如银行凭据。

Resecurity 的研究人员建议 AnyDesk的企业客户联系公司获取有关此次安全事件可能对其组织产生的潜在影响的更多信息。建议他们激活工具的白名单功能以限制能够连接到其设备的用户，并启用多因素身份验证
(MFA)。同时建议监控意外的密码和 MFA 更改、可疑会话以及引用 AnyDesk 账户信息的外部电子邮件。