- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
В результате атаки киберпреступникам удалось эксфильтровать корпоративные данные, на операционную деятельность компании инцидент не оказал влияния.
Вторжение обнаружилось еще 24 мая, но только после публикации списка украденных файлов на DLS производитель решил рассказать свою версию событий.
По данным Cisco, злоумышленник старгетировался на одного из ее сотрудников и сумел выкрасть только те файлы, которые хранились в папке Box, связанной с учетной записью жертвы, а также данные аутентификации сотрудников из Active Directory.
Компания утверждает, что информация, хранящаяся в папке Box, не была конфиденциальной.
Для организации первоначального доступа хакеры получили учетные данные Cisco сотрудника через Chrome, который был настроен на синхронизацию паролей.
Далее хакерам удалось зарегистрировать новые устройства для MFA и пройти аутентификацию в Cisco VPN. После этого актор повысил свои привилегии, создал бэкдор для сохранения и переместились в другие системы из среде, включая серверы Citrix и контроллеры домена.
После того, как вторжение было обнаружено и доступ злоумышленника был аннулирован, Cisco наблюдала непрерывные попытки его восстановления, но, по словам компании, все они потерпели неудачу.
Cisco приписала атаку брокеру первоначального доступа, который связан со злоумышленником UNC2447, который, по данным ресечерров взаимодействует с FiveHands, HelloKitty, Lapsus$, а также с бандой вымогателей Yanluowang.
Фактически Yanluowang и взяла на себя ответственность за атаку, утверждая, что украла около 3000 файлов общим размером 2,8 ГБ.
Названия файлов, опубликованных хакерами, дают все основания опровергнуть официальные заявления и полагать, что часть конфиденциальной информации все же была скомпрометирована.
Многие из этих файлов представляют собой соглашения о неразглашении, дампы данных и технические чертежи.
В ходе атаки инфораструктукра Cisco не подвергалась шифрованию, а в ходе контактов со злоумышленников требований выкупа не выдвигалось.
Однако все используемые TTP соответствовали активности, ведущей к развертыванию ransomware.