Los adversarios suelen aprovechar herramientas legítimas en sus campañas maliciosas. La popular utilidad remota AnyDesk también ha sido ampliamente explotada por piratas informáticos con fines ofensivos. Los ciberdefensores han revelado el reciente uso indebido del software AnyDesk para conectarse a computadoras específicas, enmascarando los esfuerzos maliciosos como actividad CERT-UA.

Detecte ciberataques que aprovechen AnyDesk según la investigación de CERT-UA

Los adversarios suelen explotar las herramientas de gestión remota con fines maliciosos. Por ejemplo, el software Remote Utilities se ha utilizado ampliamente en campañas ofensivas dirigidas a Ucrania. La última alerta de CERT-UA arroja luz sobre el uso indebido de otra herramienta legítima de acceso remoto, AnyDesk, que engaña a las víctimas para que aprovechen la herramienta comprometida bajo la falsa afirmación de que están realizando una auditoría de seguridad. La plataforma SOC Prime para la ciberdefensa colectiva selecciona un conjunto relevante de algoritmos de detección que ayudan a los ingenieros de seguridad a definir qué hosts utiliza AnyDesk para minimizar los riesgos de intrusiones. Dado que los adversarios conocen los identificadores de AnyDesk e intentan conectarse a los hosts que se hacen pasar por CERT-UA, SOC Prime ofrece el contenido SOC relevante para detectar estas instancias con los identificadores, que son potencialmente los objetivos.

Haga clic en el botón Explorar detecciones para acceder a los elementos de contenido de detección dedicados alineados con el marco MITRE ATT&CK® y mejorados con información relevante sobre amenazas y metadatos procesables, como cronogramas de ataques, tasas de falsos positivos y recomendaciones de configuración de auditoría. Todas las detecciones también son compatibles con las tecnologías líderes de la industria SIEM, EDR y Data Lake para permitir una detección de amenazas sin inconvenientes en múltiples plataformas.

Uso indebido de AnyDesk: análisis de ciberataques 

Los investigadores de CERT-UA han recibido información sobre múltiples intentos de adversarios de conectarse de forma remota a instancias específicas utilizando la aplicación AnyDesk, supuestamente en nombre de CERT-UA.

Según la investigación, los atacantes envían solicitudes de conexión a través de AnyDesk disfrazadas de una auditoría de seguridad para verificar los niveles de protección y afirman fraudulentamente que actúan en nombre de CERT-UA, explotando el logotipo de CERT-UA y el ID de AnyDesk “1518341498”, que puede variar en diversos incidentes.

Cabe destacar que el equipo CERT-UA puede utilizar herramientas de acceso remoto, incluido AnyDesk, en ciertos casos para ayudar a las organizaciones a proteger sus activos de ciberseguridad. Esto incluye proporcionar actividades para prevenir, detectar y mitigar las consecuencias de los incidentes cibernéticos. Sin embargo, estas operaciones solo se llevan a cabo después de un acuerdo previo a través de canales de comunicación preestablecidos.

En la última campaña maliciosa, los atacantes aplican técnicas de ingeniería social que explotan la confianza y la autoridad. Estos ciberataques que explotan AnyDesk pueden tener éxito si los adversarios tienen acceso al AnyDesk ID de la víctima y siempre que la computadora afectada tenga instalado el software AnyDesk funcional. Además, esto puede indicar que el AnyDesk ID objetivo probablemente se vio comprometido en otras circunstancias, incluida la explotación de otros sistemas desde los cuales los adversarios habían autorizado previamente el acceso remoto.

En la última campaña maliciosa, los atacantes aplican técnicas de ingeniería social que explotan la confianza y la autoridad. Estos ciberataques que explotan AnyDesk pueden tener éxito si los adversarios tienen acceso al AnyDesk ID de la víctima y siempre que la computadora afectada tenga instalado el software AnyDesk funcional. Además, esto puede indicar que el AnyDesk ID objetivo probablemente se vio comprometido en otras circunstancias, incluida la explotación de otros sistemas desde los cuales los adversarios habían autorizado previamente el acceso remoto.

Para reducir los riesgos de explotación de AnyDesk, CERT-UA insta a los usuarios a permanecer atentos y asegurarse de que las herramientas de acceso remoto estén habilitadas solo durante sesiones activas y que cualquier operación que implique acceso remoto se acuerde personalmente a través de los canales de comunicación establecidos. También se recomienda encarecidamente que las organizaciones apliquen una estrategia de defensa proactiva para detectar cualquier rastro de comportamiento sospechoso de manera oportuna. Si las organizaciones confían en AnyDesk, deben detectar de manera proactiva los hosts utilizados por esta utilidad remota para minimizar los riesgos de acceso remoto no autorizado. La plataforma SOC Prime para la ciberdefensa colectiva equipa a los equipos de seguridad con un conjunto completo de productos para una ciberdefensa a prueba de futuro, que ofrece detección avanzada de amenazas, búsqueda automatizada de amenazas e ingeniería de detección basada en inteligencia para ayudar a las organizaciones a estar siempre un paso por delante de los adversarios. 

Fuente y redacción: socprime.com

Compartir