×

Хакеры начали выкладывать украденные данные после отказа CISCO платить выкуп

Хакеры начали выкладывать украденные данные после отказа CISCO платить выкуп

Злоумышленники взломали учетные данные сотрудников с помощью голосового фишинга и готовили атаку вымогателей на Cisco Systems.

Cisco подтвердила, что данные, опубликованные в понедельник бандой вымогателей Yanluowang, были украдены из сети компании во время кибератаки в мае.

Однако в сообщении компании говорится, что утечка не меняет первоначальной оценки того, что инцидент не повлиял на бизнес:

11 сентября 2022 года злоумышленники, которые ранее опубликовали список имен файлов из этого инцидента безопасности в темной сети, разместили фактическое содержимое тех же файлов в том же месте в даркнете. Содержимое этих файлов соответствует тому, что мы уже идентифицировали и раскрыли.

Наш предыдущий анализ этого инцидента остается неизменным — мы по-прежнему не видим никакого влияния на наш бизнес, включая продукты или услуги Cisco, конфиденциальные данные клиентов или конфиденциальную информацию о сотрудниках, интеллектуальную собственность или операции цепочки поставок.

В августовском отчете Cisco сообщила , что ее сеть была взломана программой-вымогателем Yanluowang после того, как хакеры скомпрометировали учетную запись VPN сотрудника.

По данным компании, украденные данные включали неконфиденциальные файлы из папки Box сотрудника, и атака была остановлена ​​до того, как программа-вымогатель Yanluowang смогла начать шифрование систем.

Киберпреступники получили доступ к системам Cisco с помощью социальной инженерии, которая началась с того, что злоумышленник получил контроль над личной учетной записью сотрудника Google, где синхронизировались учетные данные, сохраненные в браузере жертвы. Затем в ходе серии изощренных голосовых фишинговых атак банда убедила жертву принять push-уведомления многофакторной аутентификации (MFA), что дало мошенникам возможность войти в корпоративную VPN.

Оттуда злоумышленники смогли скомпрометировать системы Cisco, повысить привилегии, сбросить инструменты удаленного доступа, развернуть Cobalt Strike и другие вредоносные программы, а также добавить в систему свои собственные бэкдоры.

«Основываясь на полученных артефактах, выявленных тактиках, методах и процедурах (ТМП), используемой инфраструктуре и тщательном анализе бэкдора, использованного в этой атаке, мы с уверенностью от средней до высокой оцениваем, что эта атака была проведена злоумышленником, который был ранее идентифицированный как брокер начального доступа (IAB), связанный как с UNC2447, так и с Lapsus$», — объяснила команда Cisco Talos в сообщении от 11 сентября об августовском взломе. «Хотя мы не наблюдали развертывания программ-вымогателей в этой атаке, используемые ТМП соответствовали «действиям, предшествующим программам-вымогателям», обычно наблюдаемым действиям, ведущим к развертыванию программ-вымогателей в средах жертв».

В конце прошлого месяца исследовательская группа компании кибербезопасности eSentire опубликовала отчет с доказательствами связи Yanluowang, Evil Corp (UNC2165) и программы-вымогателя FiveHands (UNC2447).

Однако взломавший систему CISCO хакер утверждает, что они действовали в одиночку при взломе Cisco и не были связаны ни с одной из этих группировок.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Стажер АНБ арестован за попытку продать секреты США иностранному правительству

Арестованному грозит смертная казнь или пожизненное заключение.

Китайские хакеры нанесли удар по цепочке поставок Comm100 Live Chat

Какое-то время вместе с программой можно было получить неприятный “подарок” в виде трояна.