Yanluowang Gang ransomware သည် Cisco ကော်ပိုရိတ်ကွန်ရက်ကို ချိုးဖောက်ခဲ့သည်။

Yanluowang ransomware ဂိုဏ်းသည် မေလနှောင်းပိုင်းတွင် Cisco ၏ ကော်ပိုရိတ်ကွန်ရက်ကို ဖောက်ထွင်းဝင်ရောက်ခဲ့ပြီး ကော်ပိုရိတ်အချက်အလက်များကို ခိုးယူခဲ့ကြောင်း ကုမ္ပဏီ၏ထုတ်ပြန်ချက်တွင် ဖော်ပြထားသည်။

Cisco Security Incident Response (CSIRT) နှင့် Cisco Talos တို့၏ စုံစမ်းစစ်ဆေးမှုအရ ဟက်ကာတစ်ဦးသည် Cisco ဝန်ထမ်းတစ်ဦး၏ အထောက်အထားများကို ခိုးယူခံရသူ၏ဘရောက်ဆာတွင် သိမ်းဆည်းထားသည့် အထောက်အထားများကို တစ်ပြိုင်တည်းပြုလုပ်ထားသည်ကို တွေ့ရှိပြီးနောက် Cisco ဝန်ထမ်းတစ်ဦး၏ အထောက်အထားများကို အပေးအယူလုပ်ခဲ့သည်။

တိုက်ခိုက်သူသည် ၎င်း၏ဝန်ထမ်းတစ်ဦးကို ပစ်မှတ်ထားပြီး ထိုဝန်ထမ်း၏အကောင့်နှင့် ချိတ်ဆက်ထားသော Box ဖိုင်တွဲမှ ဖိုင်များကို ခိုးယူနိုင်ခဲ့ကြောင်းနှင့် Active Directory မှ ဝန်ထမ်း၏ စစ်မှန်ကြောင်းအထောက်အထား အချက်အလက်များကိုသာ Cisco မှ တိုင်ကြားထားသည်။ ကုမ္ပဏီ၏အဆိုအရ Box ဖိုဒါတွင် သိမ်းဆည်းထားသည့် ဒေတာသည် ထိလွယ်ရှလွယ်မဟုတ်ပေ။

ဟက်ကာများသည် ဘရောက်ဆာ-စင့်ခ်လုပ်ထားသည့် အထောက်အထားများပါရှိသော Cisco ဝန်ထမ်း၏ ကိုယ်ရေးကိုယ်တာ Google အကောင့်ကို ပြန်ပေးဆွဲကာ Cisco ကွန်ရက်သို့ ဝင်ရောက်ရန် ထိုအထောက်အထားများကို အသုံးပြုခဲ့သည်။

Yanluowang ဂိုဏ်းမှ ဆန်းပြားသော အသံဖြင့် ဖြားယောင်းခြင်း တိုက်ခိုက်မှုများ ဆက်တိုက် ပြုလုပ်ပြီးနောက်၊ ဟက်ကာသည် Cisco ဝန်ထမ်းအား Multi-factor Authentication (MFA) တွန်းအားပေး သတိပေးချက်များကို လက်ခံရန် ဟက်ကာက ဆွဲဆောင်ခဲ့သည်။

Yanluowang ransomware အဖွဲ့အစည်းသည် တိုက်ခိုက်မှုအတွက် တာဝန်ရှိကြောင်း အခိုင်အမာ ပြောကြားခဲ့ပြီး အရွယ်အစား 3.000 Gb ရှိသည့် စုစုပေါင်း ဖိုင် ၃၀၀၀ ခန့်ကို ခိုးယူသွားကြောင်း အခိုင်အမာ ပြောကြားခဲ့သည်။ ဟက်ကာများမှ ထုတ်ဖော်ထားသော ဖိုင်အမည်များအရ ၎င်းတို့သည် NDA၊ အရင်းအမြစ်ကုဒ်၊ VPN သုံးစွဲသူနှင့် အခြားဒေတာများကို ခိုးယူသွားဖွယ်ရှိသည်။

တိုက်ခိုက်မှုသည် ဖိုင်များကို စာဝှက်ပေးသည့် ransomware ကို အသုံးမပြုခဲ့ပေ။ Cisco ၏ စနစ်များမှ ဖယ်ရှားခံရပြီးနောက် ဟက်ကာများသည် Cisco အမှုဆောင်အရာရှိများထံ အီးမေးလ်တစ်စောင် ပေးပို့ခဲ့သော်လည်း ပြတ်သားစွာ ခြိမ်းခြောက်မှုများ သို့မဟုတ် ရွေးနုတ်ဖိုးတောင်းဆိုမှုများ မပါဝင်ပါ။

​  

Ercole Palmeri: ဆန်းသစ်တီထွင်မှုကို စွဲလမ်းခြင်း။