Cisco revela una brecha de seguridad, el grupo de ransomware Yanluowang violó su red corporativa a fines de mayo y robó datos internos.
La investigación realizada por Cisco Security Incident Response (CSIRT) y Cisco Talos reveló que los actores de amenazas comprometieron las credenciales de un empleado de Cisco después de que obtuvieron el control de una cuenta personal de Google donde se sincronizaban las credenciales guardadas en el navegador de la víctima.
Una vez obtenidas las credenciales, los atacantes lanzaron ataques de phishing de voz en un intento de engañar a la víctima para que aceptara la notificación automática de MFA iniciada por el atacante.
Al lograr una aceptación de inserción de MFA, el atacante tuvo acceso a la VPN en el contexto del usuario objetivo.
“El acceso inicial a la VPN de Cisco se logró mediante el compromiso exitoso de la cuenta personal de Google de un empleado de Cisco. El usuario había habilitado la sincronización de contraseñas a través de Google Chrome y había almacenado sus credenciales de Cisco en su navegador, lo que permitió que esa información se sincronizara con su cuenta de Google”. lee el análisis publicado por Cisco Talos. “Después de obtener las credenciales del usuario, el atacante intentó eludir la autenticación multifactor (MFA) utilizando una variedad de técnicas, incluido el phishing de voz (también conocido como “vishing”) y la fatiga de MFA, el proceso de envío de un gran volumen de solicitudes de inserción al móvil del objetivo. dispositivo hasta que el usuario acepte, ya sea accidentalmente o simplemente para intentar silenciar las notificaciones automáticas repetidas que están recibiendo”.
El atacante llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones confiables que intentaban convencer a la víctima de que aceptara las notificaciones automáticas de autenticación multifactor (MFA) iniciadas por el atacante. El atacante finalmente logró lograr una aceptación de MFA push, otorgándole acceso a VPN en el contexto del usuario objetivo.
Según Talos, una vez que el atacante obtuvo el acceso inicial, inscribió una serie de nuevos dispositivos para MFA y se autenticaron con éxito en la VPN de Cisco. Luego, los actores de amenazas escalaron a privilegios administrativos antes de iniciar sesión en múltiples sistemas. Los atacantes pudieron colocar varias herramientas en la red de destino, incluidas herramientas de acceso remoto como LogMeIn y TeamViewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Los investigadores de Talos agregaron que los atacantes no pudieron robar datos confidenciales del gigante de TI.
“Confirmamos que la única filtración de datos exitosa que ocurrió durante el ataque incluyó el contenido de una carpeta de Box que estaba asociada con la cuenta de un empleado comprometido. Los datos obtenidos por el adversario en este caso no eran sensibles”. continúa el análisis.
Cisco dijo que la pandilla de Yanluowang no implementó ningún ransomware en su red durante el ataque.
El grupo de ransomware Yanluowang está intentando extorsionar a la empresa y publicó una lista de archivos robados de la empresa que amenaza con filtrar todos los datos robados si Cisco no paga el rescate.
Cisco dijo que la pandilla de Yanluowang no implementó ningún ransomware en su red durante el ataque.
“Si bien no observamos la implementación de ransomware en este ataque, los TTP utilizados fueron consistentes con la “actividad previa al ransomware”, actividad comúnmente observada antes de la implementación de ransomware en los entornos de las víctimas. Muchos de los TTP observados son consistentes con la actividad observada por CTIR durante compromisos anteriores”. Los expertos de Talos concluyen. “Nuestro análisis también sugiere la reutilización de la infraestructura del lado del servidor asociada con estos compromisos anteriores. En compromisos anteriores, tampoco observamos el despliegue de ransomware en los entornos de las víctimas”.
fuente: securityaffairs[.]co