Cisco sofre ataque cibernético

A Cisco informou que sua rede foi acessada por cibercriminosos depois que eles roubaram as credenciais corporativas de um funcionário através de uma conta pessoal do Google. A autoria foi reivindicada pelo grupo de ransomware Yanluowang.

De acordo com o site The Register, o incidente aconteceu no dia 24 de maio e foi divulgado oficialmente só nesta semana, após uma lista de arquivos acessados ​​durante o incidente ter aparecido na dark web.

O Cisco Security Incident Response (CSIRT) e o Cisco Talos, grupo de segurança cibernética da empresa, afirmaram que os criminosos conseguiram extrair dados da conta desse funcionário e passar algum tempo dentro do ambiente da companhia.

O invasor teria obtido acesso às redes, registrado uma série de dispositivos para autenticação multifator (MFA, na sigla em inglês) e se autenticado com sucesso na VPN da americana. Depois, escalou para privilégios administrativos, permitindo o login em vários sistemas.

Isso foi feito através de phishing de voz, no qual o grupo se passava por organizações confiáveis buscando ajudar o funcionário até que ele decifrasse e aceitasse uma notificação MFA falsa, que deu aos hackers acesso à VPN.

Uma vez dentro, eles se espalham lateralmente para os servidores Citrix, obtendo acesso privilegiado aos controladores de domínio. Como administradores de domínio, operaram ferramentas como ntdsutil, adfind e secretsdump para extrair dados e instalar um backdoor e outras cargas úteis.

A Cisco teria conseguido revogar o acesso dos invasores, mas eles tentaram restabelecer a entrada várias vezes, segundo o The Register aproveitando a fraca higiene de rotação de senhas dos funcionários. 

Os invasores tentaram, então, estabelecer comunicação por e-mail com os executivos da americana, exibindo listas de diretórios de seus saques – supostos 2,75 GB de dados contendo cerca de 3,7 mil arquivos – e sugerindo que a empresa poderia pagar para evitar a divulgação.

A companhia afirmou que, com base em artefatos obtidos, táticas, técnicas e procedimentos identificados, infraestrutura usada e uma análise do backdoor, avalia “com confiança moderada a alta” que o ataque foi conduzido por um agente com vínculos com UNC2447 e Lapsus$.

Além disso, a americana acrescentou que a atividade também estava ligada à gangue de ransomware Yanluowang, que reivindicou o crédito pela violação.

O ransomware Yanluowang é normalmente usado contra instituições financeiras, mas é conhecido por infectar empresas de manufatura, serviços de TI, consultoria e engenharia. No caso da Cisco, as atividades realizadas teriam sido apenas “pré-ransomware”.

Segundo a companhia, não houve impacto nos seus produtos ou serviços, dados confidenciais de clientes ou informações confidenciais de funcionários, propriedade intelectual ou operações da cadeia de suprimentos.