Yanluowang Gang ransomware hat it Cisco bedriuwsnetwurk ynbrutsen

De Yanluowang ransomware-bende brutsen ein maaie it bedriuwsnetwurk fan Cisco en stiel bedriuwynformaasje, sei it bedriuw yn in ferklearring.

Neffens in ûndersyk troch Cisco Security Incident Response (CSIRT) en Cisco Talos, kompromittearre in hacker de bewiisbrieven fan in Cisco-meiwurker nei it oernimmen fan in persoanlik Google-akkount dat syngronisaasjegegevens bewarre yn 'e browser fan it slachtoffer.

Cisco seit dat in oanfaller ien fan har meiwurkers rjochte hat en allinich bestannen koe stelle út in Box-map keppele oan it akkount fan dy meiwurker en de autentikaasje-ynformaasje fan 'e wurknimmer fan Active Directory. Neffens it bedriuw wiene de gegevens opslein yn 'e map Box net gefoelich.

De hackers kapten it persoanlike Google-akkount fan in Cisco-meiwurker, dy't browser-syngronisearre referinsjes befette, en brûkten dy referinsjes om tagong te krijen ta Cisco's netwurk.

Nei in searje ferfine stim phishing-oanfallen útfierd troch de Yanluowang-bende, oertsjûge de hacker de Cisco-meiwurker om push-alerts foar multi-factor autentikaasje (MFA) te akseptearjen.

Ransomware-organisaasje Yanluowang easke ferantwurdlikens foar de oanfal op en sei dat it sawat 3.000 bestannen stiel yn totaal 2,8Gb yn grutte. Neffens de troch de hackers iepenbiere bestânsnammen kinne se NDA, boarnekoade, VPN-kliïnten en oare gegevens stellen hawwe.

De oanfal brûkte gjin triemfersiferjende ransomware. Nei't se fuortsmiten binne fan Cisco's systemen, stjoerde de hackers in e-post nei Cisco-bestjoerders, mar it befette gjin eksplisite bedrigingen of losjildeasken.

​  

Ercole Palmeri: Ynnovaasje addicted