Um grupo de cibercriminosos vazou arquivos roubados no início deste ano da Cisco, mas a gigante das redes mantém sua avaliação inicial do incidente e diz que não há impacto em seus negócios. A empresa admitiu em 10 de agosto que havia detectado uma violação de segurança em 24 de maio. O reconhecimento foi solicitado por um grupo de ransomware chamado Yanluowang, que alega ter obtido gigabytes de informações e publicado uma lista de arquivos supostamente roubados da Cisco.
A empresa confirmou que os dados se originaram de seus sistemas. “O conteúdo desses arquivos corresponde ao que já identificamos e divulgamos”, disse a Cisco em uma atualização compartilhada no domingo, 11. “Nossa análise anterior desse incidente permanece inalterada — continuamos sem ver nenhum impacto em nossos negócios, incluindo produtos ou serviços, dados confidenciais de clientes ou informações de funcionários, propriedade intelectual ou operações da cadeia de suprimentos.”
Em agosto, a Cisco atribuiu o ataque a um agente de acesso inicial com vínculos com o grupo de ameaça persistente avançada (APT) UNC2447 ligado à Rússia, a gangue Lapsus$ e o grupo de ransomware Yanluowang.
A empresa disse que o ataque tinha como alvo um de seus funcionários. Ela alegou que apenas arquivos não confidenciais armazenados em uma conta do Box e dados de autenticação de funcionários do Active Directory foram roubados.
Veja isso
Hacker que atacou a Cisco estava em ação desde abril
Cisco confirma incidente de ransomware ocorrido em maio
Os hackers inicialmente obtiveram as credenciais do funcionário da Cisco e, em seguida, usaram engenharia social e outros métodos para contornar a autenticação multifator (MFA) e obter informações adicionais. Após o acesso inicial ter sido alcançado, eles começaram a descartar ferramentas de pós-exploração e acesso remoto, privilégios escalonados, backdoors criados e movidos lateralmente dentro da rede.
O ransomware de criptografia de arquivos não foi implantado no ataque e, embora o operador da ameaça tenha enviado e-mails aos executivos da Cisco após a descoberta da violação, ele não fez ameaças específicas ou demandas de extorsão.O ransomware de criptografia de arquivos Yanluowang surgiu em 2021 e tem sido usado para atingir organizações em todo o mundo, incluindo corporações financeiras nos Estados Unidos.