El ransomware Yanluowang Gang ha violado la red corporativa de Cisco

La pandilla de ransomware Yanluowang pirateó la red corporativa de Cisco a fines de mayo y robó información corporativa, dijo la compañía en un comunicado.

Según una investigación realizada por Cisco Security Incident Response (CSIRT) y Cisco Talos, un pirata informático comprometió las credenciales de un empleado de Cisco después de detectar una cuenta personal de Google en la que se sincronizaron las credenciales guardadas en el navegador de la víctima.

Cisco afirma que un atacante apuntó a uno de sus empleados y solo logró robar archivos de una carpeta de Box vinculada a la cuenta de ese empleado y la información de autenticación del empleado de Active Directory. Según la empresa, los datos almacenados en la carpeta Box no eran confidenciales.

Los piratas informáticos secuestraron la cuenta personal de Google de un empleado de Cisco, que contenía credenciales sincronizadas con el navegador, y usaron esas credenciales para iniciar sesión en la red de Cisco.

Después de una serie de sofisticados ataques de phishing de voz llevados a cabo por la pandilla de Yanluowang, el pirata informático convenció al empleado de Cisco para que aceptara alertas automáticas de autenticación multifactor (MFA).

La organización de ransomware Yanluowang se atribuyó la responsabilidad del ataque y afirmó haber robado aproximadamente 3.000 archivos con un tamaño total de 2,8 Gb. Según los nombres de archivo revelados por los piratas informáticos, es posible que hayan robado NDA, código fuente, cliente VPN y otros datos.

El ataque no usó un ransomware que encripta archivos. Después de ser eliminados de los sistemas de Cisco, los piratas informáticos enviaron un correo electrónico a los ejecutivos de Cisco, pero no contenía amenazas explícitas ni demandas de rescate.

Ercole Palmeri: Adicto a la innovación