Το Yanluowang Gang ransomware εισέβαλε στο εταιρικό δίκτυο της Cisco

Η συμμορία ransomware Yanluowang παραβίασε το εταιρικό δίκτυο της Cisco στα τέλη Μαΐου και έκλεψε εταιρικές πληροφορίες, ανέφερε η εταιρεία σε δήλωση.

Σύμφωνα με έρευνα της Cisco Security Incident Response (CSIRT) και της Cisco Talos, ένας χάκερ παραβίασε τα διαπιστευτήρια ενός υπαλλήλου της Cisco αφού εντόπισε έναν προσωπικό λογαριασμό Google στον οποίο συγχρονίστηκαν τα διαπιστευτήρια που ήταν αποθηκευμένα στο πρόγραμμα περιήγησης του θύματος.

Η Cisco ισχυρίζεται ότι ένας εισβολέας στόχευσε έναν από τους υπαλλήλους της και κατάφερε να κλέψει αρχεία μόνο από έναν φάκελο Box που ήταν συνδεδεμένος με τον λογαριασμό αυτού του υπαλλήλου και τις πληροφορίες ελέγχου ταυτότητας του υπαλλήλου από την Active Directory. Σύμφωνα με την εταιρεία, τα δεδομένα που ήταν αποθηκευμένα στο φάκελο Box δεν ήταν ευαίσθητα.

Οι χάκερ κατέλαβαν τον προσωπικό λογαριασμό Google ενός υπαλλήλου της Cisco, ο οποίος περιείχε διαπιστευτήρια συγχρονισμένα με πρόγραμμα περιήγησης, και χρησιμοποίησαν αυτά τα διαπιστευτήρια για να συνδεθούν στο δίκτυο της Cisco.

Μετά από μια σειρά εξελιγμένων επιθέσεων φωνητικού phishing που πραγματοποιήθηκαν από τη συμμορία Yanluowang, ο χάκερ έπεισε τον υπάλληλο της Cisco να αποδεχτεί ειδοποιήσεις push authentication (MFA).

Η οργάνωση ransomware Yanluowang ανέλαβε την ευθύνη για την επίθεση και ισχυρίστηκε ότι έκλεψε περίπου 3.000 αρχεία συνολικού μεγέθους 2,8 Gb. Σύμφωνα με τα ονόματα αρχείων που αποκάλυψαν οι χάκερ, ενδέχεται να έχουν κλέψει NDA, πηγαίο κώδικα, πελάτη VPN και άλλα δεδομένα.

Η επίθεση δεν χρησιμοποίησε ransomware που κρυπτογραφεί αρχεία. Αφού αφαιρέθηκαν από τα συστήματα της Cisco, οι χάκερ έστειλαν ένα email στα στελέχη της Cisco, αλλά δεν περιείχε ρητές απειλές ή απαιτήσεις για λύτρα.

​  

Ercole Palmeri: Εθισμένος στην καινοτομία