Cisco confirmó hoy que el grupo de ransomware Yanluowang violó su red corporativa a fines de mayo y que trató de extorsionarlos bajo la amenaza de filtrar archivos robados en línea.
La empresa reveló que los atacantes solo podían recopilar y robar datos no confidenciales de una carpeta de Box vinculada a la cuenta de un empleado comprometido.
“Cisco experimentó un incidente de seguridad en nuestra red corporativa a fines de mayo de 2022 e inmediatamente tomamos medidas para contener y erradicar a los malos actores”, dijo un portavoz de Cisco a BleepingComputer.
Credenciales de empleados robadas utilizadas para atacar la red de Cisco
Los hackers de Yanluowang obtuvieron acceso a la red de Cisco utilizando las credenciales robadas de un empleado después de secuestrar la cuenta personal de Google del empleado que contenía las credenciales sincronizadas desde su navegador.
El atacante convenció al empleado de Cisco para que aceptara las notificaciones automáticas de autenticación multifactor (MFA) a través de la fatiga de MFA y una serie de sofisticados ataques de phishing de voz iniciados por la banda de Yanluowang que se hizo pasar por organizaciones de soporte de confianza.
Los actores de amenazas finalmente engañaron a la víctima para que aceptara una de las notificaciones de MFA y obtuvieron acceso a la VPN en el contexto del usuario objetivo.
Una vez que se afianzaron en la red corporativa de la empresa, los operadores de Yanluowang se extendieron lateralmente a los servidores y controladores de dominio de Citrix.
Finalmente, Cisco detectó y expulsó a los atacantes de su entorno, pero continuaron intentando recuperar el acceso durante las siguientes semanas.
Para ayudar a los administradores de red y a los profesionales de la seguridad a detectar el malware utilizado en el ataque, Cisco creó dos nuevas detecciones de ClamAV para la puerta trasera y un exploit de Windows utilizado para la elevación de privilegios.
Los piratas informáticos afirman robar datos de Cisco
La semana pasada, el actor de amenazas detrás del hackeo de Cisco envió por correo electrónico a BleepingComputer una lista de directorios de archivos presuntamente robados durante el ataque.
El actor de amenazas afirmó haber robado 2,75 GB de datos, que constaban de aproximadamente 3100 archivos. Muchos de estos archivos son acuerdos de confidencialidad, volcados de datos y dibujos de ingeniería.
Los actores de amenazas también enviaron un documento NDA redactado robado en el ataque a BleepingComputer como prueba del ataque y una “pista” de que violaron la red de Cisco y extrajeron archivos. Hoy, los extorsionadores anunciaron la violación de Cisco en su sitio de fuga de datos y publicaron la misma lista de directorios enviada previamente a BleepingComputer.
Ningún ransomware implementado en los sistemas de Cisco
Cisco también dijo que, aunque la pandilla Yanluowang es conocida por cifrar los archivos de sus víctimas, no encontró evidencia de cargas útiles de ransomware durante el ataque.
“Si bien no observamos la implementación de ransomware en este ataque, los TTP utilizados fueron consistentes con la ‘actividad previa al ransomware’, actividad comúnmente observada antes de la implementación de ransomware en entornos de víctimas”, agregó Cisco Talos en una publicación de blog separada publicada.
La pandilla de Yanluowang también afirmó haber violado recientemente los sistemas del minorista estadounidense Walmart, quien negó el ataque y le dijo a BleepingComputer que no encontró evidencia de un ataque de ransomware.
Los piratas informáticos dicen que robaron el código fuente de Cisco
Después de publicar esta historia, el actor de amenazas detrás de la brecha le dijo a BleepingComputer que robaron el código fuente durante el ciberataque.
Como prueba, los piratas informáticos compartieron una captura de pantalla de una consola de administrador de VMware vCenter en una URL de cisco.com. Este tablero de vCenter muestra numerosas máquinas virtuales, incluida una nombrada como un servidor GitLab utilizado por el CSIRT de Cisco.
Sin embargo, Cisco afirma que no tiene evidencia de que el código fuente haya sido robado durante el ataque.
“No tenemos evidencia que sugiera que el actor accedió al código fuente del producto de Cisco o cualquier acceso sustancial más allá de lo que ya hemos revelado públicamente”, dijo Cisco a BleepingComputer.
Fuente: BleepingComputer
