Представители Cisco подтвердили, что в мае корпоративную сеть компании взломала вымогательская группировка Yanluowang. Позже злоумышленники пытались вымогать у Cisco деньги, в противном случае угрожая опубликовать украденные во время атаки данные в свободном доступе.
В компании подчеркивают, что хакеры сумели похитить только неконфиденциальные данные из папки Box, связанной с взломанной учетной записью сотрудника.
«В конце мая 2022 года в корпоративной сети Cisco произошел инцидент, связанный с нарушением безопасности, и мы немедленно приняли меры по сдерживанию и блокировке атакующих, — рассказываю в компании. — Cisco не выявила каких-либо доказательств того, что инцидент оказал воздействие на бизнес компании, включая продукты и услуги Cisco, конфиденциальные данные клиентов и конфиденциальную информацию о сотрудниках, интеллектуальную собственность и операции цепочки поставок».
Опубликовать официальное заявление компанию побудил тот факт, что 10 августа в даркнете были обнародованы данные, якобы похищенные у Cisco.
Расследование показало, что участники Yanluowang получили доступ к сети Cisco, используя украденные у сотрудника учетные данные, полученные после взлома его личного аккаунта Google, содержавшего логины и пароли, синхронизированные с браузером.
Во время атаки на сотрудника Cisco злоумышленники выдавали себя за специалистов поддержки, и сумели вынудить его одобрить push-уведомление многофакторной аутентификации, в том числе с помощью «изощренных голосовых фишинговых атак». Когда жертва наконец одобрила одно из уведомлений, хакеры смогли получить доступ к VPN в контексте целевого пользователя.
Проникнув в корпоративную сеть, операторы Yanluowang распространили свою атаку дальше, на серверы и контроллеры домена Citrix. «Они перешли в среду Citrix, скомпрометировав ряд серверов Citrix, и в итоге получили привилегированный доступ к контроллерам домена», — рассказывают в Cisco Talos.
Получив права администратора домена, хакеры использовали такие инструменты, как ntdsutil, adfind и secretsdump, для сбора дополнительной информации и установили во взломанные системы ряд полезных нагрузок, включая бэкдор. Также во время атаки хакеры применяли множество других инструментов: от программ удаленного доступа, таких как LogMeIn и TeamViewer, до наступательных решений, включая Cobalt Strike, PowerSploit, Mimikatz и Impacket, для поддержания доступа.
В конечном итоге Cisco обнаружила атаку и закрыла хакерам доступ, но те продолжали попытки вернуть доступ в течение последующих недель, хотя эти попытки не увенчались успехом.
Журналисты издания Bleeping Computer сообщают, что еще на прошлой неделе операторы Yanluowang связались с ними по электронной почте и прислали список файлов, якобы украденных у Cisco во время атаки.
Тогда хакеры заявили, что похитил 2,75 Гб данных (примерно 3100 файлов). По информации издания, многие из этих файлов представляют собой соглашения о неразглашении, дампы данных и техническую документацию. Также хакеры передали изданию отредактированную версию соглашения о неразглашении, украденного во время атаки, в качестве доказательства своих слов.
Теперь вымогатели уже объявили о взломе Cisco «официально», на своем сайте в даркнете, и опубликовали тот же список файлов, который ранее показывали Bleeping Computer.
В Cisco говорят, что обычно Yanluowang шифруют файлы своих жертв, однако специалисты компании не обнаружили никаких вымогательских пейлоадов в своей сети. При этом, согласно отчету Cisco, активность злоумышленников соответствовала «активности вымогателей, обычно наблюдаемой в средах компаний-жертв и ведущей к развертыванию шифровальщика».
«Мы считаем, что эта атака, с высокой долей вероятности, была проведена злоумышленником, который ранее являлся брокером первоначальных доступов и имел связи с киберпреступной группой UNC2447, группой Lapsus$ и операторами вымогателя Yanluowang», — полагают в Cisco.
