Geçtiğimiz hafta AnyDesk’de yaşanan güvenlik sorunlarından bahsetmiş ve uzaktan bağlantı yazılımında olabilecek veri hilalinin ipuçlarını vermiştik. Dün ise AnyDesk hack’lendiğini duyurmuştu.
Budan sonraki süreç daha sıkıntı olacak buna hiç şüphe yok. Bu gün gelen haberler AnyDesk kullanıcılarının parolalarının Dark Web’de satışa çıkarıldığı yönünde.
Bu tür bilgilerin siber suçlular tarafından elde edilebilir olması yeni saldırılara zemin hazırlayabilir. Belirli bir müşteri hakkında bilgilere sahibi olmak başarılı bir saldırı olasılığını önemli ölçüde artırabilir. Örneğin, yazılım satıcıları, yönetilen hizmet sağlayıcıları (MSP’ler) veya outsource IT hizmeti alan şirketler adına gönderilen e-postaların kullanılması veya bu şirketler üzerinden erişimlerin edilmesi gibi senaryolar olabilir. Bu verilerin elde edilmesi için kullanılan kaynaklar ve yöntemler değişebilir ve belirli kötü niyetli kişilerin taktikleri, teknikleri ve prosedürleri’ne bağlı olarak daha büyük yıkıcı etkilere yol açabilir.
AnyDesk portalına erişim sağlayarak, müşterilerle ilgili detayları öğrenebilir, bunlar arasında kullanılan lisans anahtarı, aktif bağlantı sayısı, oturum süresi, müşteri kimliği ve iletişim bilgileri, hesapla ilişkilendirilmiş e-posta ve etkinleştirilmiş uzaktan erişim yönetim yazılımına sahip toplam host sayısı ve bunların çevrimiçi veya çevrimdışı durumları ve kimlikleri bulunmaktadır.
Olaya aşina olan siber suçluların, AnyDesk’in kimlik bilgilerini sıfırlama konusunda proaktif önlemler alabileceğini düşündükleri için Dark Web’den farklı kaynaklardan elde edilmiş müşteri kimlik bilgilerini hızla paraya çevirmeye çalıştığı düşünülmektedir. Özellikle, Dark Web’de açığa çıkan hesapların çoğunluğunun 2FA’nın etkinleştirilmediği görülmüştür.
DarkWeb’de paylaşılan ekran görüntülerinde görülen zaman damgaları, 3 Şubat 2024 tarihli oturumlarında başarılı erişimi göstermektedir. Bazı kullanıcılar şifrelerini değiştirmemiş olabilir veya bu süreç hala devam ediyor olabilir. Özellikle büyük müşteriler için müdahale işlemi karmaşık olabilir ve anında gerçekleştirilemeyebilir.
AnyDesk’in 2 Şubat 2024 tarihli açıklamasına göre, “tedbir olarak, (AnyDesk) web portalımız, my.anydesk.com’daki tüm şifreleri iptal ediyoruz ve kullanıcıların şifrelerini başka bir yerde kullanıyorsa değiştirmelerini öneriyoruz.” diyor Ancak Dark Web’de 30.000’den fazla kullanıcı kimlik bilgisi dolaşıyor olabilir.
Dark Web’deki saldırganları AnyDesk müşteri kimlik bilgilerine büyük ilgi gösteriyor. Bu bilgiler özellikle spam, online bankacılık hırsızlığı, dolandırıcılık, iş e-postası komplosu (BEC) ve hesap ele geçirme (ATO) faaliyetleriyle uğraşan saldırganlar için son derece değerli veriler.
Bundan sonraki süreç daha da sıkıntı olacak gibi duruyor. Önümüzdeki günler büyük ihlallerine gebe gibi görünüyor.
