Ransomware Yanluowang Gang violou a rede corporativa da Cisco

A gangue de ransomware Yanluowang invadiu a rede corporativa da Cisco no final de maio e roubou informações corporativas, disse a empresa em comunicado.

De acordo com uma investigação da Cisco Security Incident Response (CSIRT) e Cisco Talos, um hacker comprometeu as credenciais de um funcionário da Cisco após detectar uma conta pessoal do Google na qual as credenciais salvas no navegador da vítima foram sincronizadas.

A Cisco alega que um invasor mirou um de seus funcionários e só conseguiu roubar arquivos de uma pasta Box vinculada à conta desse funcionário e as informações de autenticação do funcionário do Active Directory. Segundo a empresa, os dados armazenados na pasta Box não eram sensíveis.

Os hackers sequestraram a conta pessoal do Google de um funcionário da Cisco, que continha credenciais sincronizadas pelo navegador, e usaram essas credenciais para fazer login na rede da Cisco.

Após uma série de sofisticados ataques de phishing de voz realizados pela gangue Yanluowang, o hacker convenceu o funcionário da Cisco a aceitar alertas push de autenticação multifator (MFA).

A organização de ransomware Yanluowang reivindicou a responsabilidade pelo ataque e alegou ter roubado aproximadamente 3.000 arquivos, totalizando 2,8 Gb de tamanho. De acordo com os nomes dos arquivos divulgados pelos hackers, eles podem ter roubado NDA, código-fonte, cliente VPN e outros dados.

O ataque não usou um ransomware que criptografa arquivos. Depois de serem removidos dos sistemas da Cisco, os hackers enviaram um e-mail aos executivos da Cisco, mas não continha ameaças explícitas ou pedidos de resgate.

Ercole Palmeri: Viciado em inovação