Cisco Systems potwierdziło, że pod koniec maja jego sieć korporacyjna została zaatakowana przez hakerów rozpowszechniających ransomware Yanluowang. Należy zauważyć, że atakującym udało się ukraść niepoufne dane związane z przejętym kontem jednego z pracowników.
„Pod koniec maja 2022 r. w sieci korporacyjnej Cisco Systems doszło do incydentu związanego z bezpieczeństwem i natychmiast podjęliśmy działania mające na celu powstrzymanie i zablokowanie intruzów. Incydent ten nie miał wpływu na działalność firmy, w tym na produkty i usługi, poufne dane klientów i pracowników, własność intelektualną i operacje łańcucha dostaw ” — skomentował tę kwestię Cisco Systems.
Według źródła, atakującym udało się uzyskać dostęp do wewnętrznej sieci Cisco Systems po włamaniu się na konto Google jednego z pracowników. Poprzez oszustwo byli w stanie przekonać ofiarę do zaakceptowania powiadomienia push z uwierzytelnianiem wieloskładnikowym, co skutkowało dostępem do VPN w kontekście użytkownika docelowego. Po infiltracji sieci Cisco Systems atakujący włamali się na kilka serwerów Citrix i uzyskali uprzywilejowany dostęp do kontrolerów domeny. Po uzyskaniu uprawnień administratora domeny zbierali dane i wrzucali do zhakowanych systemów złośliwe oprogramowanie, w tym backdoora.
Ostatecznie specjaliści Cisco Systems odkryli obecność intruzów w sieci wewnętrznej, po czym zostali zablokowani. Zwraca się uwagę, że w ciągu najbliższych kilku tygodni hakerzy nie pozostawili prób przywrócenia dostępu do systemów Cisco Systems. Jednocześnie firma nie znalazła żadnych oznak, że hakerzy przesłali do sieci oprogramowanie do szyfrowania danych w zhakowanych systemach.
Ciekawe, że kilka dni temu jeden z uczestników ataku na Cisco Systems skontaktował się z portalem BleepingComputer i dostarczył dowody na to, że hakerom udało się wykraść cenne dane. Powiedział, że podczas ataku skradziono około 2,75 GB danych (około 3100 plików), z których wiele stanowiły umowy o zachowaniu poufności, zrzuty danych i rysunki techniczne.
Źródło: bleepingcomputer
