A Cisco sofreu um ataque de ransomware em maio, mas só agora confirmou o que os dados vazados pelo grupo de ransomware Yanluowang foram roubados de seus sistemas.
Cisco é atacada pelo ransomware Yanluowang e tem dados roubados
No mês passado, a Cisco divulgou uma violação de segurança em que a gangue de ransomware Yanluowang violou sua rede corporativa no final de maio e roubou dados internos.
De acordo com a investigação conduzida pela Cisco Security Incident Response (CSIRT) e Cisco Talos, os agentes de ameaças comprometeram as credenciais de um funcionário da Cisco depois que ganharam o controle de uma conta pessoal do Google, onde as credenciais salvas no navegador da vítima estavam sendo sincronizadas.
Depois de obter as credenciais, os invasores lançaram ataques de phishing de voz na tentativa de induzir a vítima a aceitar a notificação por push de MFA iniciada pelo invasor. Uma vez obtida uma aceitação por push de MFA, o invasor teve acesso à VPN no contexto do usuário-alvo.
O invasor realizou uma série de ataques sofisticados de phishing de voz sob o disfarce de várias organizações confiáveis ??tentando convencer a vítima a aceitar notificações push de autenticação multifator (MFA) iniciadas pelo invasor. O invasor finalmente conseguiu obter uma aceitação por push de MFA, concedendo a eles acesso à VPN no contexto do usuário alvo.
A ação por trás do roubo
De acordo com Talos, uma vez que o invasor obteve o acesso inicial, ele registrou uma série de novos dispositivos para MFA e se autenticou com sucesso na VPN da Cisco. Em seguida, os agentes de ameaças escalaram para privilégios administrativos antes de fazer login em vários sistemas.
De acordo com a investigação, os agentes de ameaças conseguiram descartar várias ferramentas na rede de destino, incluindo ferramentas de acesso remoto como LogMeIn e TeamViewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Após as investigações, a Cisco foi obrigada a confirmar que os dados vazados pela gangue Yanluowang ransomware eram autênticos e foram roubados de sua rede durante a invasão de maio.
No entanto, a empresa apontou que a violação de segurança não tem impacto nos negócios porque os dados roubados não incluem informações confidenciais.
De acordo com o BleepinComputer (Via: Security Affairs), que entrou em contato com o líder da gangue de ransomware, o grupo Yanluowang alega ter roubado 55 GB de arquivos que incluíam documentos classificados, esquemas técnicos e código-fonte. No entanto, a Cisco continua negando que os agentes de ameaças tenham acesso ao código-fonte de seus produtos.
O Security Affairs lembra que, recentemente, pesquisadores da empresa de segurança cibernética eSentire descobriram que a infraestrutura de ataque usada no hack da Cisco também foi usada para atacar uma importante corporação de gerenciamento de força de trabalho em abril de 2022.
Esperamos que esse hack da Cisco não traga maiores problemas para a empresa e para os clientes dela.