Компания Cisco поделилась подробной информацией о кибератаке, направленной против компании. Инцидент произошел 24 мая 2022 года. Когда компании стало известно о потенциальной компрометации, Cisco Security Incident Response и Cisco Talos приступили к расследованию проблемы. Компания признала, что учетные данные сотрудников были скомпрометированы.

2,75 ГБ украденных данных

Cisco заявила, что злоумышленники проводили голосовые фишинговые атаки, имитируя доверенные организации. Первоначально злоумышленникам удалось убедить жертву принять push-уведомление многофакторной аутентификации, которое было инициировано злоумышленником. Он предоставил им доступ к VPN в контексте целевого пользователя.

Расследование, инициированное CSIRT и Talos, показало, что нет никаких доказательств того, что злоумышленники могли получить доступ к критически важной внутренней системе. Однако учетные данные сотрудников Cisco были скомпрометированы. Злоумышленник получил контроль над личной учетной записью Google, учетные данные которой были сохранены в браузере жертвы, и была включена синхронизация. Злоумышленники пытались сохранить доступ, свести к минимуму криминалистические артефакты и повысить уровень доступа к системам в среде.

Компании удалось удалить злоумышленника из среды. Злоумышленники предприняли несколько безуспешных попыток восстановить доступ в течение следующих недель. Cisco считает, что атака была проведена злоумышленником, который ранее был идентифицирован как посредник первоначального доступа со связями с бандой киберпреступников UNC2447, которая является группой злоумышленников Lapsus$ и операторами программ- вымогателей Yanluowang .

С другой стороны, банда Yanluowang утверждает, что украла 2,75 ГБ данных, в том числе около 3100 файлов. Большинство из них — это соглашения о неразглашении, дампы данных и технические чертежи. Банда опубликовала украденные данные на своем сайте утечки данных.

В компании Cisco, рассказали:

«Субъекты угроз обычно используют методы социальной инженерии для компрометации целей, и, несмотря на частоту таких атак, организации продолжают сталкиваться с проблемами, связанными с устранением этих угроз. Обучение пользователей имеет первостепенное значение для предотвращения таких атак, в том числе для того, чтобы сотрудники знали законные способы, с помощью которых персонал службы поддержки будет связываться с пользователями, чтобы сотрудники могли выявлять мошеннические попытки получения конфиденциальной информации.

Учитывая продемонстрированное субъектом умение использовать широкий спектр методов для получения начального доступа, обучение пользователей также является ключевой частью противодействия методам обхода MFA. Не менее важным для внедрения MFA является информирование сотрудников о том, что делать и как реагировать, если они получают ошибочные push-запросы на свои телефоны. Также важно информировать сотрудников о том, к кому обращаться в случае возникновения таких инцидентов, чтобы помочь определить, было ли событие технической проблемой или злонамеренным. »