Los datos internos de Cisco filtrados a fines de la semana pasada por la operación de ransomware Yanluowang con sede en China se confirmaron como robados durante un ataque cibernético a principios de 2022, pero insistieron en que la filtración no representa un riesgo para su negocio, las operaciones de la cadena de suministro o los clientes.
El ataque tuvo lugar en mayo, pero Cisco lo reveló inicialmente el 10 de agosto de 2022 después de que su nombre apareciera por primera vez en el sitio de filtraciones de la web oscura de Yanluowang.
En ese momento, dijo, el atacante probablemente era un corredor de acceso inicial (IAB) con enlaces a un actor de amenazas rastreado como UNC2447, el equipo de Yanluowang y el grupo Lapsus $ que atacó a varias empresas de tecnología a principios de año.
Es probable que obtuvieran acceso después de phishing con éxito a un empleado de Cisco que había almacenado sus credenciales en su cuenta personal de Google.
En última instancia, el atacante filtró el contenido de una carpeta de Box asociada con la cuenta del empleado comprometido y los datos de autenticación del empleado de Active Directory.
En una actualización entregada el 11 de septiembre, la unidad de inteligencia de amenazas de Cisco, Talos, dijo: “El 11 de septiembre de 2022, los malos actores que publicaron previamente una lista de nombres de archivos de este incidente de seguridad en la web oscura, publicaron el contenido real de los mismos archivos. a la misma ubicación en la dark web. El contenido de estos archivos coincide con lo que ya identificamos y divulgamos.
Continuaron: “Nuestro análisis anterior de este incidente permanece sin cambios: seguimos sin ver ningún impacto en nuestro negocio, incluidos los productos o servicios de Cisco, los datos confidenciales de los clientes o la información confidencial de los empleados, la propiedad intelectual o las operaciones de la cadena de suministro”.
Sin embargo, según Bleeping Computer, la pandilla de Yanluowang afirma que ha robado 55 GB de datos, incluidos documentos clasificados, información técnica y, lo que es más importante, el código fuente, aunque esto no está confirmado.
Chris Hauk, defensor de la privacidad del consumidor en Pixel Privacy, comentó: “Si bien este es definitivamente un caso de ‘Dijimos, ellos dijeron’, cuando se trata de esta violación de datos, los clientes y empleados de Cisco deben tratar esta violación como si los malos actores lo hicieran. tienen acceso a todos los datos que afirman haber robado.
“Eso significa que deben estar alertas a los esquemas de phishing que utilizan los datos posiblemente robados, al mismo tiempo que vigilan su información de inicio de sesión, asegurándose de que no hayan reutilizado sus contraseñas en ninguna parte”.
Una rareza comparativa en la escena ciberdelincuente dado el dominio de las bandas de ransomware de habla rusa, Yanluowang fue identificado por primera vez a fines de 2021 por el equipo Threat Hunter de Symantec, sin embargo, parece haber estado operativo desde al menos agosto de 2021.
Parece estar principalmente interesado en organizaciones que operan en el sector financiero, pero también se ha enfocado en aquellas que se especializan en consultoría, ingeniería, servicios de TI y manufactura.
Según Symantec, utiliza una serie de tácticas, técnicas y procedimientos (TTP) que están asociados con la operación Thieflock ransomware-as-a-service (RaaS), lo que posiblemente sugiera la presencia o la influencia de un afiliado.
En abril de 2022, los investigadores de Kaspersky pudieron descifrar el cifrado del ransomware después de encontrar una falla en su algoritmo de cifrado asimétrico RSA-1024 y, posteriormente, pusieron a disposición de las víctimas un descifrador gratuito.
