{"id":291359,"date":"2024-02-04T12:38:35","date_gmt":"2024-02-04T11:38:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291359"},"modified":"2024-02-20T11:03:27","modified_gmt":"2024-02-20T10:03:27","slug":"anydesk-hack-undercover-zugangsdaten-zum-verkauf-angeboten-teil-4","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/04\/anydesk-hack-undercover-zugangsdaten-zum-verkauf-angeboten-teil-4\/","title":{"rendered":"AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Bez\u00fcglich des AnyDesk-Hacks werde ich aktuell von der Realit\u00e4t st\u00e4ndig rechts \u00fcberholt – habe ich in AnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3 noch vorsichtig \"noch kein rauchender Colt gefunden\" geschrieben, hat sich das ge\u00e4ndert. Die Zugangsdaten von AnyDesk-Kundenkonten werden wohl bereits zum Kauf angeboten – das Taktieren der Verantwortlichen (BSI, AnyDesk) erscheint nun nochmals in einem schaleren Licht. An dieser Stelle mein Dank an den Leser f\u00fcr den Hinweis. Erg\u00e4nzung:<\/strong> Der Datensatz stammt wohl aus \u00e4lteren Leaks.<\/p>\n

<\/p>\n

Empfehlung zum Passwortwechsel<\/h2>\n

\"\"Beim Cybervorfall von AnyDesk sind Hacker ja in die Produktivsysteme des Anbieters eingedrungen. Im Beitrag AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> – Teil 1 hatte ich dabei auch die Empfehlung des Anbieters wiedergegeben, die Kennw\u00f6rter zu \u00e4ndern. Zitat aus meinem Artikel, der auf Hinweise aus dem AnyDesk Inzidenz-Report beruht, hei\u00dft es:<\/p>\n

\"Als Vorsichtsma\u00dfnahme haben wir alle Passw\u00f6rter f\u00fcr unser Webportal my.anydesk.com widerrufen und empfehlen den Benutzern, ihre Passw\u00f6rter zu \u00e4ndern, wenn sie dieselben Anmeldedaten an anderer Stelle verwenden.\"<\/p><\/blockquote>\n

Diesen Hinweise hatte ich bereits verklausuliert hier im Blog gegeben und geraten, die Fernwartungssoftware vorerst nicht mehr einzusetzen. Hier nochmals der Auszug aus dem Bericht von AnyDesk:<\/p>\n

\"AnyDesk-Meldung<\/a><\/p>\n

In AnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3 hatte ich aber auch erw\u00e4hnt, dass nicht alle AnyDesk-Kunden beim Zugriff auf das Webportal von AnyDesk zum Wechsel des Passworts aufgefordert werden. Und viele Kunden haben schlicht nicht mitbekommen, dass es einen Cybervorfall gab, habe gerade auf der AnyDesk-Seite geschaut, nichts von einer Warnung zu sehen.<\/p>\n

Nutzerzugangsdaten in Hackerforum angeboten<\/h2>\n

Leser Nicolas hat mich vor einigen Minuten in einer pers\u00f6nlichen Nachricht auf X dar\u00fcber informiert (danke daf\u00fcr), dass er die Info gefunden hat, dass die AnyDesk Account-Zugangsdaten zum Verkauf angeboten werden. Auf resecurity.com<\/em> findet sich seit dem heutigen 4. Februar 2024 der Blog-Beitrag Following The AnyDesk Incident: Customer Credentials Leaked And Published For Sale On The Dark Web<\/a>.<\/p>\n

Am 3. Februar 2024 haben die Sicherheitsforscher von resecurity.com <\/em>mindestens zwei zwei Bedrohungsakteure identifiziert, die Daten aus dem Hack im Darknet anbieten. Einer von diesen Personen mit dem Alias \"Jobaaaaa\" hat sich 2021 im Forum Exploit[.]in registriert. Dieser bietet und eine betr\u00e4chtliche Anzahl von Anmeldedaten f\u00fcr AnyDesk-Kundenkonten zum Verkauf an.<\/p>\n

\"AnyDesk-Anmeldedaten<\/p>\n

Die von den Akteuren zur Verf\u00fcgung gestellten Beispiele bezogen sich auf kompromittierte Zugangsdaten verschiedener End- und Unternehmenskunden, und erm\u00f6glichten den Zugriff auf das AnyDesk-Kundenportal. Als Sicherheitsma\u00dfnahme bereinigte der T\u00e4ter einige der Passw\u00f6rter. Der Akteur bot 18.317 Kontendatens\u00e4tze f\u00fcr 15.000 US-Dollar an, die in Kryptow\u00e4hrung bezahlt werden sollten.<\/p>\n

Der T\u00e4ter stimmte auch zu, einen Deal \u00fcber ein Treuhandkonto in einem angesehenen Untergrundforum abzuschlie\u00dfen. Resecurity hat die meisten der als potenzielle Opfer identifizierten Kontakte kontaktiert und best\u00e4tigt, dass sie in der Vergangenheit oder vor kurzem AnyDesk-Produkte verwendet haben. Der Akteuer gab keine weiteren Informationen preis.<\/p>\n

Die Cyber-Bedrohungsanalysten des Resecurity <\/em>HUNTER-Teams konnten mit dem Akteur in Kontakt treten, um mehr \u00fcber diese Aktivit\u00e4t zu erfahren. Der Akteur betonte: \"Diese Daten sind ideal f\u00fcr technischen Support-Betrug und Mailing (Phishing)\". Resecurity hat die verf\u00fcgbaren Informationen gesammelt, um sie mit der \u00d6ffentlichkeit zu teilen. Ziel ist es, das Bewusstsein f\u00fcr Cyberkriminalit\u00e4t zu sch\u00e4rfen und Risikominderungsma\u00dfnahmen zu erleichtern.<\/p>\n

Wo kommen die Daten her?<\/h2>\n

Anmerkung:<\/strong> Derzeit wei\u00df ich nicht, ob die Daten aus dem AnyDesk-Hack stammen, oder aus kompromittierten Benutzersystemen gesammelt wurden oder aus anderen Quellen stammen und f\u00fcr den Verkauf zusammengestellt wurden – die Gelegenheit ist halt g\u00fcnstig.<\/p>\n

Erg\u00e4nzung:<\/strong> Es gibt eine Theorie, die ich nicht ganz f\u00fcr abwegig halte. In Teil 3 hatte ich die Beobachtung eines Lesers skizziert, dass der AnyDesk Client 8.0.7 nur ganz kurz am 17. Januar 2024 verteilt und sofort zur\u00fcckgezogen wurde. Nimmt man an, dass es den Angreifern gelungen ist, eine AnyDesk Client 8.0.7 mit Trojaner zu verteilen, h\u00e4tte die ggf. auch Anmeldungen am AnyDesk-Portal mitschneiden k\u00f6nnen. Hier bleibt nur abzuwarten, ob AnyDesk da Aufkl\u00e4rung schafft. Erg\u00e4nzung 1:<\/strong> AnyDesk schreibt (siehe Teil 8), das es von deren Servern keine kompromittierten Clients gab.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Der Datensatz stammt wohl aus \u00e4lteren Leaks. Auf reddit.com<\/a> hat jemand das offen gelegt –\u00a0 danke an Frank f\u00fcr den Link.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> – Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese \u2013 Teil 5<\/a>
\nAnyDesk-Hack \u2013 Nachlese der BSI-Meldung<\/a>\u00a0\u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a>\u00a0\u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen vom 5. Februar 2024<\/a>\u00a0-Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a>\u00a0\u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a>\u00a0\u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n

Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client \u2026<\/a>
\nAnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights<\/a>
\nNach AnyDesk \u00c4rger nun RustDesk offline?<\/a><\/p>\n

Fernwartungssoftware-Anbieter Anydesk gehackt<\/a> (Artikel bei Golem)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bez\u00fcglich des AnyDesk-Hacks werde ich aktuell von der Realit\u00e4t st\u00e4ndig rechts \u00fcberholt – habe ich in AnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr\u00a0 \u2013 Teil 3 noch vorsichtig \"noch kein rauchender Colt gefunden\" geschrieben, hat sich das ge\u00e4ndert. Die Zugangsdaten von … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291359","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291359"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291359\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291359"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}