Cisco ha confermato oggi che il gruppo ransomware Yanluowang ha violato la sua rete aziendale a fine maggio e che l’attore ha chiesto un riscatto minacciando di divulgare i dati rubati online.
La società ha rivelato che gli aggressori potevano raccogliere e rubare dati non sensibili solo da una cartella collegata all’account di un dipendente compromesso.
“Cisco ha subito un incidente di sicurezza sulla nostra rete aziendale alla fine di maggio 2022 e abbiamo immediatamente agito per contenere e sradicare i malintenzionati”
“Cisco non ha identificato alcun impatto sulle attività a seguito di questo incidente, inclusi prodotti o servizi Cisco, dati sensibili dei clienti o informazioni sensibili dei sui dipendenti, proprietà intellettuale o operazioni della catena di approvvigionamento. Il 10 agosto i malintenzionati hanno pubblicato un elenco di file nel dark web. Abbiamo anche implementato misure aggiuntive per salvaguardare i nostri sistemi e stiamo condividendo dettagli tecnici per aiutare a proteggere la più ampia comunità di sicurezza”.
Dalla treview acquisita da RHC e presente sul sito di Yanluowang, sono presenti molti documento con il suffisso NDA, come si può visualizzare dalla print screen in calce.
Una parte del tree view presente al download sul sito di Yanluowang
Gli attori della minaccia di Yanluowang hanno ottenuto l’accesso alla rete di Cisco utilizzando le credenziali rubate di un dipendente dopo aver dirottato l’account personale di Google di un dipendente contenente le credenziali sincronizzate dal browser.
L’aggressore ha convinto il dipendente Cisco ad accettare le notifiche push di autenticazione a più fattori (MFA) a causa dell’autenticazione MFA e di una serie di sofisticati attacchi di phishing vocale avviati dalla banda di Yanluowang che si spacciavano per organizzazioni di supporto fidate.
Advertising
Gli attori delle minacce hanno infine indotto la vittima ad accettare una delle notifiche MFA e hanno ottenuto l’accesso alla VPN nel contesto dell’utente preso di mira.
Dopo aver preso piede nella rete aziendale dell’azienda, gli operatori Yanluowang si sono diffusi lateralmente ai server e ai controller di dominio Citrix.
“Si sono trasferiti nell’ambiente Citrix, compromettendo una serie di server Citrix e alla fine hanno ottenuto l’accesso privilegiato ai controller di dominio”
ha affermato Cisco Talos.
Dopo aver ottenuto l’amministratore di dominio, hanno utilizzato strumenti di enumerazione come ntdsutil, adfind e secretsdump per raccogliere più informazioni e hanno installato una serie di payload su sistemi compromessi, inclusa una backdoor.
Alla fine, Cisco li ha rilevati ed eliminati dal suo ambiente, ma hanno continuato a tentare di riottenere l’accesso nelle settimane successive.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.