FiveHands Evil Corp Yanluowang CISCO вымогательское ПО взлом даркнет утечка данных социальная инженерия
Злоумышленники взломали учетные данные сотрудников с помощью голосового фишинга и готовили атаку вымогателей на Cisco Systems.
Cisco Systems, Inc. - американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно все необходимое сетевое оборудование.
Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.
Супружеская пара Леонард Босак (Leonard Bosack) и Сандра Лернер (Sandra Lerner) основала компанию Cisco Systems в 1984 году. Они работали в качестве обслуживающего компьютерного персонала в Стэнфордском университете.
В 1990 Босак и Лернер ушли из компании с $170 млн после того, как венчурные инвесторы ввели в состав правления профессиональных менеджеров.
"
data-html="true" data-original-title="Cisco"
>Cisco подтвердила, что данные, опубликованные в понедельник бандой вымогателей Yanluowang, были украдены из сети компании во время кибератаки в мае.
Однако в сообщении компании говорится,
что
утечка не меняет первоначальной оценки того, что инцидент не повлиял на бизнес:
11 сентября 2022 года злоумышленники, которые ранее опубликовали список имен файлов из этого инцидента безопасности в темной сети, разместили фактическое содержимое тех же файлов в том же месте в даркнете. Содержимое этих файлов соответствует тому, что мы уже идентифицировали и раскрыли.
Наш предыдущий анализ этого инцидента остается неизменным — мы по-прежнему не видим никакого влияния на наш бизнес, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.В августовском отчете
Cisco сообщила , что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.
По данным компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена до того, как программа-вымогатель Yanluowang смогла начать шифрование систем.
Киберпреступники получили доступ к системам Cisco с помощью социальной инженерии, которая началась с того, что злоумышленник получил контроль над личной учетной записью сотрудника Google, где синхронизировались учетные данные, сохраненные в браузере жертвы. Затем в ходе серии изощренных голосовых фишинговых атак банда убедила жертву принять push-уведомления многофакторной аутентификации (MFA), что дало мошенникам возможность войти в корпоративную VPN.
https://www.darkreading.com/attacks-breaches/cisco-confirms-data-breach-hacked-files-leakedОттуда злоумышленники смогли скомпрометировать системы Cisco, повысить привилегии, сбросить инструменты удаленного доступа, развернуть Cobalt Strike и другие вредоносные программы, а также добавить в систему свои собственные бэкдоры.
«Основываясь на полученных артефактах, выявленных тактиках, методах и процедурах (ТМП), используемой инфраструктуре и тщательном анализе бэкдора, использованного в этой атаке, мы с уверенностью от средней до высокой оцениваем, что эта атака была проведена злоумышленником, который был ранее идентифицированный как брокер начального доступа (IAB), связанный как с UNC2447, так и с Lapsus$», — объяснила команда Cisco Talos в сообщении от
11 сентября
об августовском взломе. «Хотя мы не наблюдали развертывания программ-вымогателей в этой атаке, используемые ТМП соответствовали «действиям, предшествующим программам-вымогателям», обычно наблюдаемым действиям, ведущим к развертыванию программ-вымогателей в средах жертв».
В конце прошлого месяца исследовательская группа компании
кибербезопасности eSentire опубликовала отчет
с доказательствами связи Yanluowang,
Evil Corp называют самой вредоносной и самой наглой группировкой среди киберпреступников. За сведения о ее членах американское правительство назначило награду в $5 млн., а СМИ обсуждают слухи об их возможных связях с российскими спецслужбами."
data-html="true" data-original-title="Evil Corp"
>Evil Corp (UNC2165) и программы-вымогателя FiveHands (UNC2447).
Однако взломавший систему CISCO хакер утверждает, что они действовали в одиночку при взломе Cisco и не были связаны ни с одной из этих группировок.
SECURITYLAB.RU