top of page
Foto do escritorInternational IT

Cisco confirma ataque do grupo de ransomware Yanluowang

Atualizado: 30 de nov. de 2023

A Cisco Systems confirmou que foi vítima de um ataque cibernético em 24 de maio de 2022, depois que os invasores obtiveram acesso a conta pessoal do Google de um funcionário que continha senhas sincronizadas de seu navegador da web.




Cisco Talos, braço de pesquisa de ameaças da empresa, detalhou o ataque em um artigo:

O acesso inicial à VPN da Cisco foi alcançado por meio do comprometimento bem-sucedido da conta pessoal do Google de um funcionário da Cisco.
O usuário habilitou a sincronização de senhas via Google Chrome e armazenou suas credenciais da Cisco em seu navegador, permitindo que essas informações fossem sincronizadas com sua conta do Google.

Detalhes forenses do ataque levam os pesquisadores da Cisco Talos a atribuir o ataque ao grupo Yanluowang, que mantêm ligações com o UNC2447 e o Lapsus$ Group.


Essa divulgação ocorre após a publicação de uma lista de arquivos no site de vazamento de dados de cibercriminosos associados ao grupo de ransomware Yanluowang em 10 de agosto. Yanluowang, nome dado em homenagem a uma divindade chinesa, é uma variante de ransomware usada contra corporações nos EUA, Brasil e Turquia desde agosto de 2021.


As informações vazadas incluíam o conteúdo de uma pasta de armazenamento em nuvem que estava associada à conta do funcionário comprometido e acredita-se que não tenha incluído nenhum dado valioso.


Além do roubo de credenciais, havia também elementos adicionais de vishing (também conhecido como phishing de voz) para enganar a vítima e fornecer acesso ao cliente VPN.


Os cibercriminosos utilizaram um tipo de ataque chamado "MFA fatigue". Cisco Talos descreve a técnica como:

O processo de enviar um alto volume de solicitações push para o dispositivo móvel do alvo até que o usuário aceite, acidentalmente ou simplesmente para tentar silenciar as notificações push repetidas que estão recebendo.
Depois que o invasor obteve o acesso inicial, ele registrou uma série de novos dispositivos para MFA e se autenticou com sucesso na VPN da Cisco.
O invasor então escalou para privilégios administrativos, permitindo que eles fizessem login em vários sistemas, o que alertou nossa equipe de resposta a incidentes de segurança da Cisco (CSIRT).


As ferramentas usadas pelos invasores incluem LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.


Em resposta ao ataque, a Cisco implementou uma redefinição de senha em toda a empresa. Além disso, criou duas assinaturas do Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) como precaução para desinfetar quaisquer ativos adicionais comprometidos. O Clam AntiVirus Signatures (ou ClamAV) é um kit de ferramentas antimalware multiplataforma capaz de detectar uma variedade de malware e vírus.


Por fim, o relatório da Cisco Talos conclui:

Os agentes de ameaças geralmente usam técnicas de engenharia social para comprometer alvos e, apesar da frequência desses ataques, as organizações continuam enfrentando desafios para mitigar essas ameaças. A educação do usuário é fundamental para impedir esses ataques, incluindo garantir que os funcionários conheçam as maneiras legítimas pelas quais a equipe de suporte entrará em contato com os usuários para que os funcionários possam identificar tentativas fraudulentas de obter informações confidenciais.

A empresa enfatizou que o incidente não teve impacto em suas operações comerciais ou resultou em acesso não autorizado a dados confidenciais de clientes, informações de funcionários e propriedade intelectual.

 



Posts recentes

Ver tudo

Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page