Los ciberdelincuentes han encontrado una nueva forma de explotar herramientas legítimas para llevar a cabo ataques maliciosos. Investigadores en ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di han alertado sobre el uso indebido del software de acceso remoto AnyDesk, utilizado por atacantes para infiltrarse en sistemas y suplantar a CERT-UA, el Equipo de Respuesta a Emergencias Informáticas de Ucrania.
El uso malicioso de AnyDesk
El software de acceso remoto AnyDesk, ampliamente utilizado por empresas y particulares, ha sido aprovechado por atacantes que fingen realizar auditorías de seguridad en nombre de CERT-UA. Según informaciones recientes, estos ciberdelincuentes envían solicitudes de conexión a través de AnyDesk alegando llevar a cabo comprobaciones de seguridad, cuando en realidad buscan obtener acceso no autorizado a los sistemas de las víctimas.
De acuerdo con CERT-UA, los atacantes han utilizado el identificador de AnyDesk «1518341498», aunque este podría variar en diferentes incidentes. A través de técnicas de ingeniería social, los ciberdelincuentes logran que los usuarios confíen en ellos, permitiendo la conexión remota sin sospechar que se trata de una amenaza.
Riesgos y modus operandi de los atacantes
El ataque se basa en la confianza y la aparente legitimidad de la solicitud. En algunos casos, los criminales utilizan el logotipo de CERT-UA y otra información visual para convencer a las víctimas. Una vez obtenida la conexión remota, pueden:
- Extraer información sensible.
- Instalar malware o ransomware.
- Tomar control de los sistemas para futuros ataques.
CERT-UA ha advertido que el software AnyDesk, si bien puede ser utilizado por su equipo en ciertas circunstancias, solo lo hace tras un acuerdo previo y a través de canales de comunicación establecidos.
Medidas de prevención y defensa
Ante la creciente explotación de herramientas de acceso remoto, los expertos recomiendan adoptar estrategias de defensa proactivas:
- Verificar la autenticidad de cualquier solicitud de conexión remota, contactando directamente con la organización que supuestamente realiza la auditoría.
- Restringir el uso de AnyDesk y otras herramientas similares solo a sesiones activas, deshabilitándolas cuando no sean necesarias.
- Aplicar soluciones de detección y respuesta en tiempo real, como las proporcionadas por plataformas de ciberseguridad como SOCUn SOC, abreviatura de Security Operations Center (centro de Prime, que permiten identificar anomalías en el uso de AnyDesk.
- Seguir el marco MITRE ATT&CK, que ayuda a mejorar la visibilidad de patrones de comportamiento malicioso relacionados con herramientas de acceso remoto.
Conclusión
El uso indebido de AnyDesk demuestra una vez más la importancia de la ciberseguridad y la necesidad de una formación adecuada para reconocer posibles amenazas. Empresas y usuarios individuales deben mantenerse alerta ante este tipo de ataques y adoptar medidas de protección para evitar comprometer la seguridad de sus sistemas. CERT-UA y otras organizaciones de ciberseguridad continúan trabajando para detectar y mitigar este tipo de amenazas, instando a la comunidad a reportar cualquier actividad sospechosa relacionada con accesos remotos no solicitados.
vía: SocPrime