Cisco ha confirmado que sufrió un ciberataque, causado por el compromiso de las credenciales de inicio de sesión de un empleado.
Si bien Cisco dice que no sufrió consecuencias importantes por el incidente de mayo de 2022, el actor de amenazas, que pudo permanecer en la red por un tiempo antes de ser desalojado, no está de acuerdo.
Según Cisco, los atacantes son corredores de acceso inicial vinculados a la banda de ciberdelincuencia UNC2447, el grupo de actores de amenazas Lapsus$ y el ransomware Yanluowang. (se abre en una pestaña nueva) operadores. Consiguieron infiltrarse en la cuenta personal de Google de un empleado, que estaba sincronizada con su navegador y que conservaba todos los datos de inicio de sesión.
Empujando al intruso
Después de eso, el atacante llevó a cabo una «serie de sofisticados ataques de phishing de voz» que dieron como resultado que el empleado aceptara notificaciones automáticas de autenticación multifactor (MFA).
Eso les dio acceso a la VPN en el contexto del usuario objetivo, que usaron para moverse lateralmente a los servidores y controladores de dominio de Citrix. «Se trasladaron al entorno Citrix, comprometiendo una serie de servidores Citrix y finalmente obtuvieron acceso privilegiado a los controladores de dominio», dijo Cisco en su anuncio. (se abre en una pestaña nueva).
Fue entonces cuando, según Cisco, fueron vistos y expulsados. “El actor de amenazas fue eliminado con éxito del entorno y mostró persistencia, intentando repetidamente recuperar el acceso en las semanas posteriores al ataque; sin embargo, estos intentos no tuvieron éxito”.
Si bien la compañía dice que no hubo daños graves, los atacantes se acercaron a BleepingEquipo (se abre en una pestaña nueva), para afirmar lo contrario, alegando haber robado más de 3000 archivos, incluidos NDA, volcados de datos y dibujos de ingeniería. La base de datos completa pesa 2,75 GB y se publicó en el sitio de fuga de datos del extorsionador.
Cisco minimizó el robo, alegando que los datos no eran confidenciales y se tomaron de la carpeta Box del empleado comprometido.
“Cisco no identificó ningún impacto en nuestro negocio como resultado de este incidente, incluidos los productos o servicios de Cisco, datos confidenciales de clientes o información confidencial de empleados, propiedad intelectual u operaciones de la cadena de suministro”, dijo.
“El 10 de agosto, los malos actores publicaron una lista de archivos de este incidente de seguridad en la web oscura. También hemos implementado medidas adicionales para salvaguardar nuestros sistemas y estamos compartiendo detalles técnicos para ayudar a proteger a la comunidad de seguridad en general».