Posté le août 11, 2022 à 6:53
LE GROUPE DE RANSOMWARE YANLUOWANG AFFIRME AVOIR VOLÉ 2,8 GB DE DONNÉES À CISCO
Cisco a confirmé que le groupe de ransomware Yanluowang a récemment attaqué son réseau pour voler des données. Selon le géant des réseaux, le gang a compromis son réseau d’entreprise à la fin du mois de mai et a tenté d’extorquer l’entreprise en menaçant de publier en ligne les fichiers volés.
Cependant, la firme a déclaré que les acteurs de la menace n’ont réussi qu’à voler et à obtenir des données non sensibles d’un dossier de boîte au compte d’un employeur violé.
« Cisco a connu un incident de sécurité sur notre réseau d’entreprise à la fin du mois de mai 2022 », a déclaré un porte-parole de Cisco, ajoutant que la société a pris des mesures immédiates pour arrêter les acteurs de la menace.
La société a expliqué que la menace n’avait aucun impact sur ses activités. Toutes les informations sensibles des employés, les données sensibles des clients et les produits et services de Cisco sont à l’abri des exploits.
Le groupe de ransomware a partagé les fichiers volés sur le Darknet
L’équipe de Cisco a déclaré que les acteurs de la menace ont publié quelques fichiers censés provenir de l’incident sur le dark web. Mais ces fichiers ne sont pas vitaux pour la sécurité des utilisateurs et de la plateforme. Afin d’assurer une meilleure protection, des mesures supplémentaires ont été mises en place pour sauvegarder ses systèmes. Cisco a également fourni des détails techniques pour permettre à l’ensemble de la communauté de rester protégée et défensive contre les acteurs malveillants. Selon l’entreprise, ces informations permettront à d’autres personnes de comprendre les méthodes d’attaque du groupe de ransomware et de protéger leurs systèmes.
Le rapport explique comment les acteurs de la menace ont pu accéder au réseau Cisco. Selon le rapport, le groupe de ransomware Yanluowang a pu accéder au réseau Cisco grâce aux informations d’identification compromises d’un employé. Le groupe a détourné le compte Google personnel de l’employé qui contient des informations d’identification synchronisées à partir de son navigateur.
Utilisation de technique d’ingénierie sociale
Le groupe a utilisé des techniques d’ingénierie sociale pour convaincre l’employé d’accepter les notifications push d’authentification multifactorielle (MFA). L’attaquant a également employé plusieurs stratégies sophistiquées d’hameçonnage vocal en se faisant passer pour de véritables organisations d’assistance. Cela a permis de convaincre la cible de donner ses coordonnées.
Le groupe a finalement convaincu la cible d’accepter l’une des notifications MFA, ce qui leur a donné accès au VPN utilisé par l’utilisateur ciblé.
Après s’être introduits dans le réseau d’entreprise de la société, les hackers se sont attaqués aux contrôleurs de domaine et aux serveurs Citrix. Cisco Taos ajoute qu’ils ont compromis plusieurs serveurs Citrix et obtenu un accès non autorisé à d’autres zones moins sensibles du réseau.
L’attaque a été détectée à temps
Après avoir obtenu l’accès à l’administrateur du domaine, le groupe de ransomware a utilisé des outils d’énumération tels que secretsdump, adfind et ntdsutil pour obtenir davantage d’informations et délivrer une série de charges utiles dans les systèmes violés. Il a également implanté une porte dérobée dans le processus.
Selon Cisco Talos, la menace d’attaque a été découverte et bloquée à temps par son équipe de sécurité. Cela a empêché le groupe de ransomware d’accéder à la section sensible du réseau. Mais, après le blocage initial de l’attaque, les acteurs de la menace n’ont pas abandonné. Au cours des semaines suivantes, ils ont tenté de regagner l’accès au réseau de Cisco.
Cisco a ajouté que les hackers ont mené plusieurs activités pour maintenir l’accès, augmenter leur niveau d’accès et minimiser les analyses forensiques. Mais l’acteur de la menace a réussi à bloquer l’accès au réseau.
Les hackers affirment que les données volées provenaient du réseau de Cisco
Les hackers soupçonnés d’être à l’origine de cette menace ont publié les données qu’ils auraient volées à Cisco. La semaine dernière, le groupe de ransomware a publié un répertoire des fichiers qu’il aurait volés sur le réseau.
Les hackers ont déclaré avoir volé 2,75 Go de données, soit environ 3 100 fichiers, au cours de l’attaque.
Selon BleepingComputer, qui a reçu des copies du fichier, beaucoup de ces fichiers sont des vidages de données, des accords de non-divulgation et des dessins techniques. Les données contenaient également un document NDA remanié comme preuve de l’attaque. Le gang de ransomware a aussi annoncé la violation de Cisco sur le darknet et sur son site de fuite de données. Les données contiennent les mêmes fichiers que ceux envoyés précédemment à BleepingComputer.
Cisco a déclaré que bien que le groupe de ransomware soit connu pour crypter les fichiers de ses victimes, il n’y a eu aucune preuve d’une charge utile de ransomware dans l’attaque.
L’entreprise a admis que les activités du groupe sur le réseau sont similaires à celles utilisées lors du déploiement d’un ransomware. Le groupe Yanluowang a récemment affirmé avoir réussi à pénétrer le réseau du géant Américain de la distribution Walmart. Mais l’entreprise a démenti cette affirmation, insistant sur le fait qu’il n’existe aucune preuve d’une telle violation.
