A Cisco divulgou na quarta-feira que sua rede corporativa foi acessada por criminosos cibernéticos em maio, depois que a conta pessoal do Google de um funcionário foi comprometida – um ato que uma gangue de ransomware chamada “Yanluowang” agora reivindicou como seu trabalho.
O maior fornecedor de rede do mundo divulgou o comprometimento de meses depois que uma lista de arquivos acessados durante o incidente apareceu na dark web.
A Cisco declaração afirma que a empresa “não identificou nenhum impacto negócios como resultado deste incidente, incluindo produtos ou serviços da Cisco, dados confidenciais de clientes ou informações confidenciais de funcionários, propriedade intelectual ou operações da cadeia de suprimentos.”
Cisco Security Incident Response (CSIRT) e o grupo inteligente de segurança cibernética da empresa, Cisco Talos, especificou que a única exfiltração de dados bem-sucedida era de uma conta com caixa de armazenamento em nuvem que estava associada à conta de um funcionário comprometido.
Mas o invasor conseguiu gastar algum tempo dentro da TI da Cisco.
De acordo com o post de Talos, o invasor obteve acesso às redes Cisco, registrou uma série de dispositivos para MFA e autenticou com sucesso na Cisco VPN.
O invasor “então escalou para privilégios administrativos, permitindo que eles fizessem login em vários sistemas”. implementar proteção adicional ções, bloquear quaisquer tentativas de acesso não autorizado e mitigar a ameaça à segurança.” Também foram feitos esforços para melhorar a “higiene de segurança cibernética dos funcionários”. ganhando o controle de uma conta pessoal do Google.
O invasor então empregou técnicas de phishing de voz que viam os agentes ligarem usando vários sotaques e se passando por várias organizações confiáveis, procurando ajudar o funcionário da Cisco, até que ele ou ela decifrou e aceitou uma notificação MFA falsa que deu aos hackers acesso à VPN.
Uma vez dentro, eles se espalharam lateralmente para os servidores Citrix – eventualmente obtendo acesso privilegiado aos controladores de domínio. Como administrador de domínio, eles operavam ferramentas como ntdsutil, adfind e secretsdump para exfiltrar dados e instalar um backdoor e outras cargas úteis.
A Cisco comprime os switches Catalyst para um tamanho compacto
Kaspersky quebra o ransomware Yanluowang, oferece um decodificador gratuito
A Cisco conseguiu revogar o acesso do invasor, mas isso não os desencorajou. Eles tentaram restabelecer a entrada várias vezes, aproveitando a fraca higiene de rotação de senhas dos funcionários. O invasor então tentou estabelecer comunicação por e-mail com os executivos da Cisco, exibindo listas de diretórios de seus saques – supostos 2,75 GB de dados contendo cerca de 3.700 arquivos – e sugerindo que a Cisco poderia pagar para evitar a divulgação.
“Com base em artefatos obtidos, táticas, técnicas e procedimentos (TTPs) identificados, infraestrutura usada e uma análise completa do backdoor utilizado neste ataque, avaliamos com confiança moderada a alta que esse ataque foi conduzido por um adversário que foi identificado anteriormente como um agente de acesso inicial (IAB) com vínculos com UNC2447 e Lapsus$”, disse a Cisco, acrescentando que a atividade também estava ligada à gangue de ransomware Yanluowang.
