Cisco hackeado por la banda de ransomware Yanluowang

Según la información proporcionada a BleepingComputer por un representante de Cisco, la compañía experimentó una brecha de seguridad en su red corporativa antes de finales de mayo de 2022.

“Cisco no ha encontrado evidencia de que sus productos o servicios, los datos de los clientes o empleados, la propiedad intelectual o las actividades de la cadena de suministro se vean afectadas de alguna manera”.

“El 10 de agosto, actores maliciosos subieron los archivos relacionados con este incidente de seguridad a la dark web. Nuestros sistemas cuentan ahora con medidas de seguridad adicionales, y estamos proporcionando a la comunidad de seguridad datos técnicos para ayudarles en sus esfuerzos”.

La red de Cisco fue vulnerada mediante el uso de contraseñas de empleados

Los actores de la amenaza del grupo Yanluowang se introdujeron en la red de Cisco utilizando las credenciales robadas de la cuenta de Google de un empleado.

El empleado de Cisco acabó cediendo a la fatiga de la MFA y aceptó las advertencias push de la MFA tras una serie de engañosos ataques de phishing de voz que fingían ser de grupos de apoyo respetables.

Finalmente, los actores de la amenaza lograron engañar a la víctima para que aceptara un aviso de MFA y así poder adquirir acceso a la VPN como el usuario objetivo.

Tras irrumpir en la red de la empresa, los operadores de Yanluowang se extendieron rápidamente a los servidores y controladores de dominio de Citrix.

Según Cisco Talos, los hackers lograron acceder a los controladores de dominio después de atacar los servidores Citrix.

Después de obtener el control del dominio, los hackers instalaron cargas útiles en el sistema utilizando ntdsutil, adfind y secretsdump con el fin de obtener información adicional y acceso. Una de las cargas útiles incluía una puerta trasera.

Cisco reconoció la amenaza y los expulsó, pero continuaron sus intentos durante semanas.

Según el análisis de Cisco Talos, “después del primer acceso, el actor de la amenaza llevó a cabo una serie de actividades para mantener el acceso, minimizar los artefactos forenses y mejorar el acceso al sistema.”

“El actor de la amenaza fue efectivamente eliminado del entorno, y después del ataque, hicieron numerosos intentos de recuperar el acceso, pero no tuvieron éxito”.

Los hackers se llevaron datos de Cisco.

El lunes de esta semana, el hacker que atacó a Cisco envió un correo electrónico a BleepingComputer con un directorio de los archivos robados.

El actor malicioso robó 2,75 GB de datos, lo que equivale a 3.100 archivos. El uso de acuerdos de no divulgación, vertidos de datos y dibujos técnicos está muy extendido.

Los actores de la amenaza proporcionaron a BleepingComputer un documento redactado del acuerdo de no divulgación tomado en el ataque como prueba de la intrusión y una “pista” de que se infiltraron en la red de Cisco y exfiltraron archivos. Este documento fue tomado durante el ataque.

Hoy, los extorsionistas se han sincerado sobre el ataque a Cisco y han publicado la misma información de directorio que habían dado a BleepingComputer.

No hay ransomware presente en los sistemas de Cisco

A pesar de que la banda de Yanluowang es conocida por encriptar archivos pertenecientes a las víctimas, Cisco no pudo encontrar ninguna carga útil de ransomware.

En una entrada de blog posterior, Cisco Talos declaró:

Tenemos razones para pensar que un agente de acceso inicial (IAB) con conexiones con la banda de ciberdelincuentes UNC2447, Lapsus$ y los operadores de ransomware Yanluowang fue el responsable de llevar a cabo este ataque.

Además, la banda Yanluowang afirmó que acababa de hackear los ordenadores de Walmart. Según BleepingComputer, Walmart negó el hecho y afirmó que no había descubierto ninguna prueba de un ataque de ransomware.