Cisco ha revelado que ha combatido un incidente cibernético potencialmente dañino que se desarrolló después de que un actor de amenazas realizara un ataque de phishing contra uno de sus empleados al abusar de su cuenta personal de Google para acceder a su red.
El proveedor de hardware de red dijo que el atacante probablemente era un agente de acceso inicial (IAB) con vínculos con la pandilla de ciberdelincuentes UNC2447, un operador de ransomware chino conocido como Yanluowang y el grupo Lapsus$, una pandilla de adolescentes que abusaron de las fallas en la autenticación multifactor ( MFA) para apuntar a múltiples empresas de tecnología a principios de este año.
Cisco reveló que había sido atacado el 10 de agosto después de que su nombre apareciera en el sitio de filtraciones de la web oscura de Yangluowang (ver imagen a continuación), pero el ataque se desarrolló hace más de dos meses, el 24 de mayo, desde que la Respuesta a Incidentes de Seguridad de Cisco (CSIRT) interna de la organización y su unidad cibernética Cisco Talos han estado trabajando para remediarlo.
#yanluowang ransomware ha publicado #cisco a su sitio de fuga. #la seguridad cibernética #infosec #Secuestro de datos pic.twitter.com/kwrfjbwbkT
— CyberKnow (@Cyberknow20)
10 de agosto de 2022
“Durante la investigación, se determinó que las credenciales de un empleado de Cisco se vieron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google donde se sincronizaban las credenciales guardadas en el navegador de la víctima”, dijo el equipo de Talos en su aviso de divulgación.
“El atacante [then] llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones confiables que intentaban convencer a la víctima de que aceptara las notificaciones automáticas de MFA iniciadas por el atacante.
“El atacante finalmente logró una aceptación de empuje MFA, otorgándole acceso a [the] VPN en el contexto del usuario objetivo”.
Después de obtener acceso, el atacante realizó una variedad de actividades para lograr la persistencia, cubrir sus huellas y elevar sus privilegios dentro de la red de Cisco. Pudieron trasladarse al entorno Citrix de Cisco, comprometer varios servidores y obtener acceso privilegiado a los controladores de dominio.
En última instancia, pudieron exfiltrar con éxito el contenido de una carpeta de Box asociada con la cuenta del empleado comprometido y los datos de autenticación del empleado de Active Directory.
Una vez detectado y eliminado de la red, el actor de amenazas intentó repetidamente recuperar el acceso dirigiéndose a los empleados que sospechaban que habían realizado cambios de un solo carácter en sus contraseñas luego de un restablecimiento de credenciales obligatorio en Cisco. No tuvieron éxito en esto.
El actor de amenazas también intentó enviar correos electrónicos a varios empleados de alto nivel de Cisco amenazando con filtrar los datos robados de Box, pero no hicieron ninguna amenaza específica ni exigencias de extorsión.
En realidad, no se implementó ningún ransomware en ningún momento, y CSIRT y Talos dijeron que no habían encontrado ninguna evidencia de que el atacante hubiera accedido a ningún sistema crítico.
“El incidente estuvo contenido en el entorno de TI corporativo y Cisco no identificó ningún impacto en ningún producto o servicio de Cisco, datos confidenciales de clientes o información de empleados, propiedad intelectual de Cisco u operaciones de la cadena de suministro”, dijo Cisco en un comunicado.
“Ningún cliente [or] se requiere la acción del socio para los productos o servicios de Cisco. Cisco ha actualizado sus productos de seguridad con inteligencia obtenida al observar las técnicas de los malos actores, indicadores compartidos de compromiso [IOCs] con otras partes, se comunicó con las fuerzas del orden y otros socios, y está compartiendo más detalles técnicos a través de un blog de Talos para ayudar a los ciberdefensores a aprender de nuestras observaciones”.
Agregó: “Cisco tiene amplias capacidades de monitoreo y remediación de TI. Hemos utilizado estas capacidades para implementar protecciones adicionales, bloquear cualquier intento de acceso no autorizado y mitigar la amenaza de seguridad. También estamos poniendo énfasis adicional en la higiene de la seguridad cibernética de los empleados y las mejores prácticas para evitar instancias similares en el futuro”.
La fundadora y directora ejecutiva de Immuniweb, Ilia Kolochenko, dijo que en esta ocasión, Cisco había tenido suerte: “Los proveedores de tecnología y seguridad cibernética ahora son atacados masivamente por actores de amenazas sofisticados por diferentes razones interrelacionadas”, dijo.
“Primero, los proveedores generalmente tienen acceso privilegiado a sus clientes empresariales y gubernamentales y, por lo tanto, pueden abrir puertas a ataques invisibles y súper eficientes en la cadena de suministro.
“En segundo lugar, los proveedores suelen contar con información valiosa sobre ciberamenazas: los delincuentes están fuertemente motivados para realizar operaciones de contrainteligencia, con el objetivo de averiguar dónde se encuentran las fuerzas del orden público y los proveedores privados con sus investigaciones y las próximas redadas policiales.
“En tercer lugar, algunos proveedores son un objetivo muy atractivo porque poseen las herramientas y técnicas DFIR más recientes que se utilizan para detectar intrusiones y descubrir a los ciberdelincuentes, mientras que otros proveedores pueden explotar las vulnerabilidades de día cero o incluso el código fuente de software espía sofisticado, que luego puede usarse contra nuevas víctimas o venderse en la dark web.
“Dicho esto, nos prepararemos para un volumen y una sofisticación en continuo crecimiento de los ataques cibernéticos dirigidos a las empresas de tecnología, es decir, a los proveedores de seguridad”, agregó Kolochenko.
