A Cisco confirmou hoje em publicações na web a ocorrência em Maio de um incidente envolvendo um ataque de ransomware bloqueado em suas redes. Na sua central de segurança, a empresa publicou um comunicado com o títulio “Resposta a eventos da Cisco: Incidente de segurança de rede corporativa”; ao mesmo tempo, a divisão Talos publicou um relatório detalhando o assunto intitulado “Cisco Talos compartilha insights relacionados ao recente ataque cibernético à Cisco”.
O assunto surgiu também no Twitter, onde o perfil @Gi7w0rm informou o ataque e a autoria assumida por parte de um grupo chamado Yanluowang, que teria roubado 2,8GB de dados de um computador que conseguiu contaminar.
Veja isso
Ransomware, APTs e Log4j lideram ranking de ameaças
Cisco corrige falha em soluções de comunicação corporativa
Segundo o relatório da Talos, em 24 de maio de 2022, a Cisco tomou conhecimento do “possível” comprometimento: “Durante a investigação, foi determinado que as credenciais de um funcionário da Cisco foram comprometidas depois que um invasor obteve o controle de uma conta pessoal do Google, onde as credenciais salvas no navegador da vítima estavam sincronizadas. O invasor realizou uma série de ataques sofisticados de phishing de voz sob o disfarce de várias organizações confiáveis ,tentando convencer a vítima a aceitar notificações push de autenticação multifator (MFA). O invasor finalmente conseguiu obter uma aceitação por push de MFA, obtendo acesso à VPN do usuário”.
Depois de estabelecer o acesso à VPN, o invasor começou a usar a conta de usuário comprometida para fazer logon em um grande número de sistemas antes de começar a migrar ainda mais para o ambiente. Eles se mudaram para o ambiente Citrix, comprometendo uma série de servidores Citrix e, eventualmente, obtiveram acesso privilegiado aos controladores de domínio. Depois de obter acesso aos controladores de domínio, o invasor começou a tentar despejar o NTDS deles usando “ntdsutil.exe” informa o relatório da Talos.
Apesar disso, o relatório afirma que não foi identificada nenhuma evidência de que o invasor obteve acesso a sistemas internos críticos, como aqueles relacionados ao desenvolvimento de produtos ou assinatura de código. Após obter o acesso inicial, diz o relatório, o agente da ameaça realizou uma variedade de atividades para manter o acesso, minimizar artefatos forenses e aumentar seu nível de acesso aos sistemas no ambiente: “O agente da ameaça foi removido com sucesso do ambiente e exibiu persistência, tentando repetidamente recuperar o acesso nas semanas seguintes ao ataque; no entanto, essas tentativas não foram bem sucedidas. Avaliamos com de confiança moderada a alta que esse ataque foi conduzido por um adversário identificado anteriormente como um corretor de acesso inicial (IAB) com vínculos com a gangue de crimes cibernéticos UNC2447, o grupo de atores de ameaças Lapsus$ e os operadores de ransomware Yanluowang”.