Η Cisco επιβεβαίωσε σήμερα ότι η ομάδα ransomware Yanluowang παραβίασε το εταιρικό της δίκτυο στα τέλη Μαΐου και ότι οι hackers προσπάθησαν να τους εκβιάσουν υπό την απειλή διαρροής κλεμμένων αρχείων στο Διαδίκτυο.
Η εταιρεία αποκάλυψε ότι οι εισβολείς μπορούσαν να συλλέξουν και να κλέψουν μη ευαίσθητα δεδομένα μόνο από έναν φάκελο Box που ήταν συνδεδεμένος με τον λογαριασμό ενός παραβιασμένου υπαλλήλου.
«Η Cisco αντιμετώπισε ένα περιστατικό ασφαλείας στο εταιρικό μας δίκτυο στα τέλη Μαΐου του 2022 και λάβαμε αμέσως μέτρα για να περιορίσουμε και να εξαλείψουμε τους κακούς παράγοντες», είπε ένας εκπρόσωπος της Cisco στο BleepingComputer.
«Η Cisco δεν εντόπισε καμία επίδραση στην επιχείρησή μας ως αποτέλεσμα αυτού του συμβάντος, συμπεριλαμβανομένων προϊόντων ή υπηρεσιών της Cisco, ευαίσθητων δεδομένων πελατών ή ευαίσθητων πληροφοριών εργαζομένων, πνευματικής ιδιοκτησίας ή λειτουργιών της εφοδιαστικής αλυσίδας.»
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Δείτε επίσης: Οι χάκερ χρησιμοποιούν την νέα υπηρεσία Dark Utilities
«Στις 10 Αυγούστου οι παράγοντες της απειλής δημοσίευσαν μια λίστα με αρχεία από αυτό το περιστατικό ασφαλείας στο dark web. Έχουμε επίσης εφαρμόσει πρόσθετα μέτρα για την προστασία των συστημάτων μας και κοινοποιούμε τεχνικές λεπτομέρειες για να βοηθήσουμε στην προστασία της ευρύτερης κοινότητας ασφαλείας.”
Οι παράγοντες της απειλής Yanluowang απέκτησαν πρόσβαση στο δίκτυο της Cisco χρησιμοποιώντας κλεμμένα διαπιστευτήρια ενός υπαλλήλου μετά την παραβίαση του προσωπικού λογαριασμού Google του υπαλλήλου που περιείχε διαπιστευτήρια συγχρονισμένα από τον browser τους.
Ο εισβολέας έπεισε τον υπάλληλο της Cisco να αποδεχτεί ειδοποιήσεις push multi-factor authentication (MFA) μέσω MFA fatigue και μιας σειράς εξελιγμένων επιθέσεων φωνητικού phishing που ξεκίνησαν από τη συμμορία Yanluowang η οποία υποδύθηκε έμπιστους οργανισμούς υποστήριξης.
Οι φορείς απειλών τελικά ξεγέλασαν το θύμα ώστε να αποδεχτεί μία από τις ειδοποιήσεις MFA και απέκτησαν πρόσβαση στο VPN στο πλαίσιο του στοχευόμενου χρήστη.
Μόλις απέκτησαν έδαφος στο εταιρικό δίκτυο της εταιρείας, οι χειριστές Yanluowang εξαπλώθηκαν πλευρικά σε servers Citrix και domain controllers.
«Μετακόμισαν στο περιβάλλον Citrix, διακυβεύοντας μια σειρά από servers Citrix και τελικά απέκτησαν προνομιακή πρόσβαση σε domain controllers», δήλωσε ο Cisco Talos.
Αφού απέκτησαν τον τίτλο του domain admin, χρησιμοποίησαν εργαλεία απαρίθμησης όπως ntdsutil, adfind και secretsdump για να συλλέξουν περισσότερες πληροφορίες και εγκατέστησαν μια σειρά payload σε παραβιασμένα συστήματα, συμπεριλαμβανομένου ενός backdoor.
Τελικά, η Cisco τους εντόπισε και τους έδιωξε από το περιβάλλον της, αλλά συνέχισαν να προσπαθούν να ανακτήσουν την πρόσβαση τις επόμενες εβδομάδες.
«Μετά την απόκτηση αρχικής πρόσβασης, ο παράγοντας απειλής διεξήγαγε μια ποικιλία δραστηριοτήτων για να διατηρήσει την πρόσβαση, να ελαχιστοποιήσει τα εγκληματολογικά τεχνουργήματα και να αυξήσει το επίπεδο πρόσβασής τους σε συστήματα εντός του περιβάλλοντος», πρόσθεσε ο Cisco Talos.
«Ο παράγοντας της απειλής αφαιρέθηκε επιτυχώς από το περιβάλλον και επέδειξε επιμονή, προσπαθώντας επανειλημμένα να ανακτήσει την πρόσβαση τις εβδομάδες μετά την επίθεση ωστόσο, αυτές οι προσπάθειες ήταν ανεπιτυχείς».
Την περασμένη εβδομάδα, ο παράγοντας της απειλής πίσω από το hack της Cisco έστειλε email στο BleepingComputer έναν κατάλογο με αρχεία που φέρεται να έχουν κλαπεί κατά τη διάρκεια της επίθεσης.
Ο hacker ισχυρίστηκε ότι είχε κλέψει 2,75 GB δεδομένων, που αποτελούνταν από περίπου 3.100 αρχεία. Πολλά από αυτά τα αρχεία είναι συμφωνίες non-disclosure, data dumps και μηχανικά σχέδια.
Οι παράγοντες της απειλής έστειλαν επίσης ένα τροποποιημένο έγγραφο NDA που κλάπηκε στην επίθεση στο BleepingComputer ως απόδειξη της επίθεσης και μια “υπόδειξη” ότι παραβίασαν το δίκτυο της Cisco και έκλεψαν αρχεία.
Σήμερα, οι εκβιαστές ανακοίνωσαν την παραβίαση της Cisco στον ιστότοπο διαρροής δεδομένων τους και δημοσίευσαν το ίδιο directory listing που είχε αποσταλεί στο BleepingCοmputer.
Η Cisco είπε επίσης ότι, παρόλο που η συμμορία Yanluowang είναι γνωστή για την κρυπτογράφηση των αρχείων των θυμάτων της, δεν βρήκε στοιχεία για payloads ransomware κατά τη διάρκεια της επίθεσης.
«Αν και δεν παρατηρήσαμε ανάπτυξη ransomware σε αυτήν την επίθεση, τα TTP που χρησιμοποιήθηκαν ήταν συνεπή με τη «δραστηριότητα pre-ransomware», δραστηριότητα που συνήθως παρατηρείται μέχρι την ανάπτυξη ransomware σε περιβάλλοντα θυμάτων», πρόσθεσε ο Cisco Talos σε ξεχωριστή ανάρτηση ιστολογίου που δημοσιεύτηκε την Τετάρτη.
Δείτε επίσης: Χάκερ εκβιάζουν την εταιρεία QuestionPro μετά από υποτιθέμενη κλοπή δεδομένων
«Αξιολογούμε με μέτρια έως υψηλή σιγουριά ότι αυτή η επίθεση διεξήχθη από έναν αντίπαλο που είχε προηγουμένως αναγνωριστεί ως initial access broker (IAB) με δεσμούς με τη συμμορία εγκλήματος στον κυβερνοχώρο UNC2447, την ομάδα απειλών Lapsus$ και τους χειριστές ransomware Yanluowang.»
Η συμμορία Yanluowang ισχυρίστηκε επίσης ότι πρόσφατα παραβίασε τα συστήματα του αμερικανικού λιανοπωλητή Walmart που αρνήθηκε την επίθεση, λέγοντας στο BleepingComputer ότι δεν βρήκε στοιχεία για επίθεση ransomware.
Πηγή: bleepingcomputer.com