El fabricante de módems fue golpeado por la pandilla Yanluowang. Entraron a través de la cuenta de Google de un empleado.
El gigante de la red ciscouno de los mayores fabricantes de módems para conectarse a Internet, confirmó que fue hackeado por un grupo de Secuestro de datos y eso 2.8 GB de datos de la empresa se vieron comprometidas.
La información fue publicada por el grupo yanluowang, quien indicó en su blog que había depositado ransomware en la empresa, un tipo de programa que encripta la información del usuario para hacerla inaccesible y exige el dinero del rescate a cambio. Al mismo tiempo, thalosLa división de ciberseguridad de Cisco, confirmó la brecha de seguridad en su página, pero negó que se tratara de ransomware.
La confirmación, que llegó a través de una publicación de blog de Talos, indicó que Cisco se enteró por primera vez de un posible compromiso el 24 de mayo.
El compromiso potencial se convirtió en una brecha de seguridad de la red, confirmada después investigación exahustiva por el Equipo de Respuesta a Incidentes de Seguridad de Cisco (CSIRT).
«Cisco no identificó ningún impacto en nuestro negocio como resultado de este incidente, incluido cualquier impacto en cualquier producto o servicio de Cisco, datos confidenciales de clientes o información confidencial de empleados, propiedad intelectual de Cisco u operaciones de la cadena de suministro», publicó la compañía.
«El 10 de agosto, los atacantes publicaron una lista de archivos de este incidente de seguridad en la web oscura», dijo Cisco, que, como empresa pública, está obligada como empresa pública a notificar el incidente ante el Comisión de Bolsa y Valores (SEC).
Cómo entraron en Cisco: a través de Google
Según el propio informe de Cisco, los ciberdelincuentes obtuvieron acceso a la red de Cisco utilizando las credenciales robadas de un empleado después de secuestrar la cuenta personal de Google de un empleado que tenía las credenciales sincronizadas desde su navegador.
El atacante convenció al empleado de Cisco para que aceptara las notificaciones automáticas de autenticación multifactor (MFA) a través de la técnica de “Fatiga de AMF”.
Esta es una forma de ataque en la que los actores de amenazas envían un flujo solicitudes constantes de autenticación multifactor para molestar a un objetivo, con la esperanza de que eventualmente acepte uno para evitar que se reproduzcan.
También implementaron una serie de sofisticados ataques de phishing de voz iniciados por la pandilla Yanluowang, haciéndose pasar por organizaciones de apoyo confiables.
Los actores de la amenaza finalmente engañaron a la víctima para que aceptara una de las notificaciones de MFA y obtuvieron acceso a la VPN en el contexto del usuario objetivo.
Yanluowang, la pandilla que atacó a Cisco
La pandilla que atacó a Cisco no es uno de los grandes nombres que están dando vueltas este año, como Lockbit, Colmena o Conti. Aparentemente, el grupo eligió el nombre en referencia a Yanluo Wang, un deidad Chino de quien se decía que era uno de los Reyes del Infierno.
Si bien se realizan conexiones con China, nunca es fácil determinar la nacionalidad de los atacantes, quienes incluso pueden tener filiales en diferentes partes del mundo, no se puede inferir de ello que sean chino.
De hecho, si bien puede haber una conexión china en lo que respecta a quién cifró el software de ransomware, eso no significa que el grupo tenga otro motivo que no sea la ganancia financiera delictiva.
Lo que se sabe, al menos con cierto grado de certezaes que Yanluowang probablemente surgió en agosto de 2021 con operaciones criminales de ransomware como servicio existentes conocidas como Fivehands y Thieflock.