Ransomware Yanluowang Gang włamał się do sieci korporacyjnej Cisco

Gang Yanluowang włamał się do sieci korporacyjnej Cisco pod koniec maja i ukradł informacje korporacyjne, podała firma w oświadczeniu.

Według dochodzenia przeprowadzonego przez Cisco Security Incident Response (CSIRT) i Cisco Talos, haker złamał dane uwierzytelniające pracownika Cisco po wykryciu osobistego konta Google, na którym zsynchronizowano dane uwierzytelniające zapisane w przeglądarce ofiary.

Cisco twierdzi, że osoba atakująca zaatakowała jednego z jej pracowników i zdołała ukraść tylko pliki z folderu Box powiązanego z kontem tego pracownika oraz informacji uwierzytelniających pracownika z Active Directory. Według firmy dane przechowywane w folderze Box nie były wrażliwe.

Hakerzy przejęli osobiste konto Google pracownika Cisco, które zawierało dane uwierzytelniające zsynchronizowane z przeglądarką, i wykorzystali je do zalogowania się do sieci Cisco.

Po serii wyrafinowanych ataków phishingu głosowego przeprowadzonych przez gang Yanluowang haker przekonał pracownika Cisco do zaakceptowania alertów push uwierzytelniania wieloskładnikowego (MFA).

Organizacja ransomware Yanluowang przyznała się do ataku i ukradła około 3.000 plików o łącznej wielkości 2,8 GB. Według nazw plików ujawnionych przez hakerów, mogli oni ukraść NDA, kod źródłowy, klienta VPN i inne dane.

Atak nie wykorzystywał oprogramowania ransomware szyfrującego pliki. Po usunięciu z systemów Cisco hakerzy wysłali e-mail do kadry kierowniczej Cisco, ale nie zawierał on żadnych wyraźnych gróźb ani żądań okupu.

â € <  

Ercole Palmeri: Uzależniony od innowacji