Cisco ha revelado(Se abre en una nueva ventana) que fue pirateado por un grupo afiliado a varios grupos criminales conocidos, incluidos Lapsus$, UNC2447 y la banda de ransomware Yanluowang.
El grupo de inteligencia de amenazas de la compañía, Cisco Talos, dice que «se dio cuenta de un posible compromiso» el 24 de mayo. Respondió a la posible violación junto con el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y confirmó que la compañía había sido pirateada.
«Durante la investigación», dice Talos, «se determinó que las credenciales de un empleado de Cisco se vieron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google donde se sincronizaban las credenciales guardadas en el navegador de la víctima».
Talos dice que los atacantes luego usaron intentos de phishing basados en voz, a los que la industria de la seguridad ha insistido en referirse como «vishing», para «convencer a la víctima de que acepte las notificaciones automáticas de autenticación multifactor (MFA) iniciadas por el atacante» después de esa inicial. compromiso.
Talos caracteriza las actividades de los piratas informáticos, que incluyen obtener acceso a la red privada virtual de Cisco, aumentar los privilegios en los sistemas comprometidos y establecer la persistencia a través de múltiples servicios de escritorio remoto, entre otras cosas, como «actividad previa al ransomware».
Los atacantes finalmente fueron eliminados de la red de Cisco antes de que pudieran implementar cualquier ransomware. Intentaron recuperar el acceso a los sistemas comprometidos varias veces después, dice Talos, pero esos esfuerzos parecen no haber tenido éxito.
Pero los hackers no se fueron con las manos vacías. Talos dice que se llevaron «el contenido de una carpeta de Box que estaba asociada con la cuenta de un empleado comprometido» que «en este caso no era confidencial». (También tomaron «datos de autenticación de empleados» de Active Directory).
Recomendado por Nuestros Editores
BleepingInformes de la computadora(Se abre en una nueva ventana) que los atacantes afirman haber robado más de 3100 archivos, incluidos «acuerdos de no divulgación, volcados de datos y dibujos de ingeniería», de esta carpeta Box comprometida. En total, según los informes, los piratas informáticos se llevaron 2,75 GB de datos.
«Cisco no identificó ningún impacto en nuestro negocio como resultado de este incidente», dice Cisco Security.(Se abre en una nueva ventana)«incluido ningún impacto en los productos o servicios de Cisco, datos confidenciales de clientes o información confidencial de empleados, propiedad intelectual de Cisco u operaciones de la cadena de suministro».
La información adicional sobre el incidente, incluidas las tácticas, técnicas y procedimientos del atacante, así como los indicadores de compromiso, está disponible a través de la publicación del blog de Talos.(Se abre en una nueva ventana).
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.