Хакеры начали выкладывать украденные данные после отказа CISCO платить выкуп

Cisco подтвердила, что данные, опубликованные в понедельник бандой вымогателей Yanluowang, были украдены из сети компании во время кибератаки в мае.

Однако в сообщении компании говорится, что утечка не меняет первоначальной оценки того, что инцидент не повлиял на бизнес:

11 сентября 2022 года злоумышленники, которые ранее опубликовали список имен файлов из этого инцидента безопасности в темной сети, разместили фактическое содержимое тех же файлов в том же месте в даркнете. Содержимое этих файлов соответствует тому, что мы уже идентифицировали и раскрыли.

Наш предыдущий анализ этого инцидента остается неизменным — мы по-прежнему не видим никакого влияния на наш бизнес, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.

В августовском отчете Cisco сообщила , что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.

По данным компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена ​​до того, как программа-вымогатель Yanluowang смогла начать шифрование систем.

Киберпреступники получили доступ к системам Cisco с помощью социальной инженерии, которая началась с того, что злоумышленник получил контроль над личной учетной записью сотрудника Google, где синхронизировались учетные данные, сохраненные в браузере жертвы. Затем в ходе серии изощренных голосовых фишинговых атак банда убедила жертву принять push-уведомления многофакторной аутентификации (MFA), что дало мошенникам возможность войти в корпоративную VPN.

Оттуда злоумышленники смогли скомпрометировать системы Cisco, повысить привилегии, сбросить инструменты удаленного доступа, развернуть Cobalt Strike и другие вредоносные программы, а также добавить в систему свои собственные бэкдоры.

«Основываясь на полученных артефактах, выявленных тактиках, методах и процедурах (ТМП), используемой инфраструктуре и тщательном анализе бэкдора, использованного в этой атаке, мы с уверенностью от средней до высокой оцениваем, что эта атака была проведена злоумышленником, который был ранее идентифицированный как брокер начального доступа (IAB), связанный как с UNC2447, так и с Lapsus$», — объяснила команда Cisco Talos в сообщении от 11 сентября об августовском взломе. «Хотя мы не наблюдали развертывания программ-вымогателей в этой атаке, используемые ТМП соответствовали «действиям, предшествующим программам-вымогателям», обычно наблюдаемым действиям, ведущим к развертыванию программ-вымогателей в средах жертв».

В конце прошлого месяца исследовательская группа компании кибербезопасности eSentire опубликовала отчет с доказательствами связи Yanluowang, Evil Corp (UNC2165) и программы-вымогателя FiveHands (UNC2447).

Однако взломавший систему CISCO хакер утверждает, что они действовали в одиночку при взломе Cisco и не были связаны ни с одной из этих группировок.