Ransomware Yanluowang Gang ha violato la rete aziendale Cisco

La gang ransomware Yanluowang ha violato la rete aziendale di Cisco, alla fine di maggio, e ha rubato informazioni aziendali, ha affermato la società in una nota.

Secondo un’indagine di Cisco Security Incident Response (CSIRT) e Cisco Talos, un hacker ha compromesso le credenziali di un dipendente Cisco dopo aver rilevato un account Google personale in cui venivano sincronizzate le credenziali salvate nel browser della vittima.

Cisco afferma che un aggressore ha preso di mira uno dei suoi dipendenti ed è riuscito a rubare solo file da una cartella Box collegata all’account di quel dipendente e le informazioni di autenticazione del dipendente da Active Directory. Secondo l’azienda, i dati conservati nella cartella Box non erano sensibili.

Gli hacker hanno dirottato l’account Google personale di un dipendente Cisco, che conteneva le credenziali sincronizzate dal browser, e hanno utilizzato tali credenziali per accedere alla rete di Cisco.

Dopo una serie di sofisticati attacchi di phishing vocale effettuati dalla banda di Yanluowang, l’hacker ha convinto il dipendente Cisco ad accettare avvisi push di autenticazione a più fattori (MFA).

L’organizzazione ransomware Yanluowang ha rivendicato l’attacco e ha affermato di aver rubato circa 3.000 file per un totale di 2,8 Gb di dimensione. Secondo i nomi dei file divulgati dagli hacker, potrebbero aver rubato NDA, codice sorgente, client VPN e altri dati.

L’attacco non ha utilizzato un ransomware che crittografa i file. Dopo essere stati rimossi dai sistemi di Cisco, gli hacker hanno inviato un’e-mail ai dirigenti Cisco, ma non contenevano minacce esplicite o richieste di riscatto.

​  

Ercole Palmeri: Innovation addicted