Хакеры начали выкладывать украденные данные после отказа CISCO платить выкуп

FiveHands Evil Corp Yanluowang CISCO вымогательское ПО взлом даркнет утечка данных социальная инженерия
Злоумышленники взломали учетные данные сотрудников с помощью голосового фишинга и готовили атаку вымогателей на Cisco Systems.

Хакеры начали выкладывать украденные данные после отказа CISCO платить выкуп


Cisco Systems, Inc. — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно все необходимое сетевое оборудование.
Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.
Супружеская пара Леонард Босак (Leonard Bosack) и Сандра Лернер (Sandra Lerner) основала компанию Cisco Systems в 1984 году. Они работали в качестве обслуживающего компьютерного персонала в Стэнфордском университете.
В 1990 Босак и Лернер ушли из компании с $170 млн после того, как венчурные инвесторы ввели в состав правления профессиональных менеджеров.
«
data-html=»true» data-original-title=»Cisco»
>Cisco
подтвердила, что данные, опубликованные в понедельник бандой вымогателей Yanluowang, были украдены из сети компании во время кибератаки в мае.
Однако в сообщении компании говорится,
что
утечка не меняет первоначальной оценки того, что инцидент не повлиял на бизнес:
11 сентября 2022 года злоумышленники, которые ранее опубликовали список имен файлов из этого инцидента безопасности в темной сети, разместили фактическое содержимое тех же файлов в том же месте в даркнете. Содержимое этих файлов соответствует тому, что мы уже идентифицировали и раскрыли.


Наш предыдущий анализ этого инцидента остается неизменным — мы по-прежнему не видим никакого влияния на наш бизнес, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.

В августовском отчете
Cisco сообщила , что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.
По данным компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена до того, как программа-вымогатель Yanluowang смогла начать шифрование систем.
Киберпреступники получили доступ к системам Cisco с помощью социальной инженерии, которая началась с того, что злоумышленник получил контроль над личной учетной записью сотрудника Google, где синхронизировались учетные данные, сохраненные в браузере жертвы. Затем в ходе серии изощренных голосовых фишинговых атак банда убедила жертву принять push-уведомления многофакторной аутентификации (MFA), что дало мошенникам возможность войти в корпоративную VPN. https://www.darkreading.com/attacks-breaches/cisco-confirms-data-breach-hacked-files-leaked
Оттуда злоумышленники смогли скомпрометировать системы Cisco, повысить привилегии, сбросить инструменты удаленного доступа, развернуть Cobalt Strike и другие вредоносные программы, а также добавить в систему свои собственные бэкдоры.
«Основываясь на полученных артефактах, выявленных тактиках, методах и процедурах (ТМП), используемой инфраструктуре и тщательном анализе бэкдора, использованного в этой атаке, мы с уверенностью от средней до высокой оцениваем, что эта атака была проведена злоумышленником, который был ранее идентифицированный как брокер начального доступа (IAB), связанный как с UNC2447, так и с Lapsus$», — объяснила команда Cisco Talos в сообщении от
11 сентября
об августовском взломе. «Хотя мы не наблюдали развертывания программ-вымогателей в этой атаке, используемые ТМП соответствовали «действиям, предшествующим программам-вымогателям», обычно наблюдаемым действиям, ведущим к развертыванию программ-вымогателей в средах жертв».
В конце прошлого месяца исследовательская группа компании
кибербезопасности eSentire опубликовала отчет
с доказательствами связи Yanluowang, Evil Corp называют самой вредоносной и самой наглой группировкой среди киберпреступников. За сведения о ее членах американское правительство назначило награду в $5 млн., а СМИ обсуждают слухи об их возможных связях с российскими спецслужбами.»
data-html=»true» data-original-title=»Evil Corp»
>Evil Corp
(UNC2165) и программы-вымогателя FiveHands (UNC2447).
Однако взломавший систему CISCO хакер утверждает, что они действовали в одиночку при взломе Cisco и не были связаны ни с одной из этих группировок.

SECURITYLAB.RU

Источник