Yanluowang Gang-ransomware gehackt in het Cisco-bedrijfsnetwerk

De ransomwarebende Yanluowang hackte eind mei het bedrijfsnetwerk van Cisco en stal bedrijfsinformatie, aldus het bedrijf in een verklaring.

Volgens een onderzoek door Cisco Security Incident Response (CSIRT) en Cisco Talos, heeft een hacker de inloggegevens van een Cisco-medewerker gecompromitteerd nadat hij een persoonlijk Google-account had gedetecteerd waarin de inloggegevens die in de browser van het slachtoffer waren opgeslagen, waren gesynchroniseerd.

Cisco beweert dat een aanvaller het op een van zijn werknemers had gericht en er alleen in slaagde om bestanden te stelen uit een Box-map die was gekoppeld aan het account van die werknemer en de authenticatie-informatie van de werknemer uit Active Directory. Volgens het bedrijf waren de gegevens die in de Box-map waren opgeslagen niet gevoelig.

De hackers hebben het persoonlijke Google-account van een Cisco-medewerker gekaapt, dat browser-gesynchroniseerde inloggegevens bevatte, en gebruikten die inloggegevens om in te loggen op het Cisco-netwerk.

Na een reeks geavanceerde voice phishing-aanvallen uitgevoerd door de Yanluowang-bende, overtuigde de hacker de Cisco-medewerker om multi-factor authenticatie (MFA) push-alerts te accepteren.

De Yanluowang ransomware-organisatie eiste de verantwoordelijkheid voor de aanval op en beweerde ongeveer 3.000 bestanden te hebben gestolen van in totaal 2,8 Gb groot. Volgens de bestandsnamen die door de hackers zijn bekendgemaakt, hebben ze mogelijk NDA, broncode, VPN-client en andere gegevens gestolen.

De aanval maakte geen gebruik van ransomware die bestanden versleutelt. Nadat ze van de systemen van Cisco waren verwijderd, stuurden de hackers een e-mail naar Cisco-managers, maar deze bevatte geen expliciete bedreigingen of eisen om losgeld.

​  

Ercole Palmeri: Innovatie verslaafd