Cisco confirma violación de datos, archivos pirateados filtrados



Cisco ha confirmado una violación de su pink, donde el atacante usó phishing de voz para convencer a un empleado de que aceptara un impulso malicioso de autenticación multifactor (MFA). La brecha resultó en que los atacantes cibernéticos obtuvieran acceso a la red privada digital (VPN) de la compañía y el robo de una cantidad no especificada de archivos de su pink, declaró la compañía el 10 de agosto.

El atacante comprometió la cuenta personal de Google de un empleado de Cisco, lo que le dio acceso a las credenciales comerciales del trabajador a través del almacén de contraseñas sincronizadas en Google Chrome. Para eludir el MFA que protege el acceso a la VPN corporativa de Cisco, el atacante intentó el phishing de voz o el vishing y envió repetidamente solicitudes de autenticación de MFA al teléfono del empleado. Eventualmente, el trabajador, ya sea sin darse cuenta o debido a la fatiga de la alerta, aceptó la solicitud de inserción y le dio acceso al atacante a la pink de Cisco.

Cisco reconoció el incidente en un breve comunicado de prensaque sostiene que la empresa descubrió la brecha el 24 de mayo pero «no identificó ningún impacto en nuestro negocio como resultado del incidente».

«[W]Tomamos medidas inmediatas para contener y erradicar a los malos actores, remediar el impacto del incidente y fortalecer aún más nuestro entorno de TI», dijo un portavoz de la compañía en el comunicado enviado a Darkish Reading through. «No se ha observado ni implementado ransomware y Cisco ha bloqueó con éxito los intentos de acceder a la pink de Cisco desde que se descubrió el incidente».

Las infracciones de las empresas de tecnología se han vuelto comunes, a menudo como parte de los ataques a la cadena de suministro. En uno de los ataques originales a la cadena de suministro, en 2011, dos grupos patrocinados por el estado vinculados a China comprometieron al proveedor de seguridad RSA para robar datos críticos que sustentan la seguridad de los tokens SecurID de la empresa. En el ataque moderno más significativo, el grupo Nobelium vinculado a Rusia, que es la designación de Microsoft, comprometió SolarWinds y usó una actualización comprometida para comprometer a los clientes de la empresa.

El ataque a Cisco probablemente tuvo múltiples objetivos, dijo Ilia Kolochenko, fundadora de la startup de ciberseguridad ImmuniWeb, en un comunicado enviado a Dim Reading through.

«Los proveedores generalmente tienen acceso privilegiado a sus clientes empresariales y gubernamentales y, por lo tanto, pueden abrir puertas a ataques invisibles y súper eficientes en la cadena de suministro», dijo, y agregó que «los proveedores con frecuencia tienen inteligencia de amenazas cibernéticas priceless: los malos están fuertemente motivados para realizar contrainteligencia operaciones, destinadas a averiguar dónde están las fuerzas del orden y los vendedores privados con sus investigaciones y las próximas redadas policiales».

Si bien algunos expertos en seguridad caracterizaron el ataque como «sofisticado», Cisco señaló que se trataba de una jugada de ingeniería social.

«El atacante finalmente logró una aceptación de MFA press, otorgándole acceso a VPN en el contexto del usuario objetivo», el equipo de Cisco Talos. declaró en un análisis del ataque. «Una vez que el atacante obtuvo el acceso inicial, registró una serie de nuevos dispositivos para MFA y se autenticó con éxito en la VPN de Cisco».

Con el acceso establecido, el atacante trató de moverse a través de la pink aumentando los privilegios e iniciando sesión en múltiples sistemas. El actor de amenazas instaló varias herramientas, como el application de acceso remoto LogMeIn y TeamViewer, así como herramientas de seguridad ofensivas, como Cobalt Strike y Mimikatz, ambas muy utilizadas por los atacantes.

Además, el atacante tenía un amplio acceso a la red de Cisco, utilizando la cuenta comprometida para acceder a «una gran cantidad de sistemas» y comprometió varios servidores Citrix para obtener acceso privilegiado a los controladores de dominio, según el análisis de Cisco Talos. El atacante usó cuentas de protocolo de escritorio remoto (RDP) ya existentes para acceder a los sistemas, eliminando las reglas del firewall para evitar que bloquearan el acceso.

Si bien Cisco sostiene que los atacantes no afectaron sus productos, servicios o datos confidenciales de clientes o empleados, la compañía reconoció que el 10 de agosto, los actores de amenazas publicaron una lista de archivos robados de la purple durante el incidente. Mientras los atacantes exigían un rescate, según un informe de prensa, Cisco declaró que los atacantes no implementaron ransomware. El actor de amenazas instaló una serie de herramientas ofensivas y carga útil en una variedad de sistemas en la red de Cisco.

Cisco cree que el actor de amenazas es un corredor de acceso inicial, un adversario que obtiene acceso no autorizado a las redes corporativas y luego vende ese acceso como un servicio en la Dim Web. El actor de amenazas parece tener «vínculos con la pandilla de delitos cibernéticos UNC2447, el grupo de actores de amenazas Lapsus $ y los operadores de ransomware Yanluowang», declaró el grupo Talos de Cisco.

El actor de amenazas, o sus afiliados, hablaban en inglés con varios acentos y dialectos internacionales, y afirmaban ser parte de una organización de apoyo conocida por el trabajador, dijo el empleado objetivo a Cisco, según el análisis de Talos.



Enlace a la noticia first