Notícias de dispositivos móveis, gadgets, aplicativos Android

Cisco foi hackeada por operadores de ransomware Yanluowang para roubar dados internos

Relatórios recentes indicam que no final de maio a rede corporativa da Cisco foi hackeada com ransomware do grupo Yanluowang.

Sob a ameaça de vazar arquivos roubados para o mundo online, o autor da ameaça tentou intimidar as vítimas para que fizessem um sacrifício financeiro; em suma, resgate.

A pasta Box de um funcionário vinculada a uma conta comprometida só estava acessível aos invasores para coletar dados casuais. Foi determinado que a Cisco não identificou nenhum hackeado em seus produtos ou negócios.

Em um recente incidente de seguran√ßa, malfeitores divulgaram ao p√ļblico uma extensa lista de arquivos do incidente na dark web em 10 de agosto.

Violando a rede da Cisco

Ao usar credenciais roubadas pertencentes a um funcion√°rio da rede da Cisco, os operadores da Yanluowang conseguiram acessar a rede da Cisco.

Durante o processo, eles comprometeram a conta pessoal do Google do funcion√°rio, que continha credenciais de login sincronizadas do navegador do funcion√°rio, e sequestraram a conta.

Um funcion√°rio da Cisco foi enganado pelo invasor para aceitar notifica√ß√Ķes push para MFA. Aqui, o invasor usou uma s√©rie de ataques de phishing por voz e fadiga de MFA para fazer isso e manipular a v√≠tima.

Não demorou muito para que os operadores Yanluowang se espalhassem para os servidores e controladores de domínio Citrix depois que ganharam uma posição na rede corporativa da empresa.

Ferramentas usadas

Eles então usaram ferramentas de enumeração após obter acesso administrativo ao domínio, como:-

  • ntdsutil
  • encontrar
  • despejo de segredos

O objetivo principal desses criminosos √© coletar informa√ß√Ķes adicionais de computadores comprometidos e instalar backdoors, bem como cargas √ļteis neles.

Deve-se notar que a Cisco os detectou e os expulsou de sua rede, mas eles continuaram suas tentativas com o passar das semanas para obter novamente o acesso.

N√≥s recomendamos:  Aplicativo para enviar SMS gr√°tis no Android

Houve in√ļmeras atividades il√≠citas realizadas pelo autor da amea√ßa ap√≥s obter acesso inicial ao sistema.

Recomenda√ß√Ķes

Como parte do processo de remediação, a Cisco reforçou todas as medidas de segurança no seu ambiente de segurança de TI, pois isso reduzirá o impacto do incidente.

No entanto, não houve observação ou implantação de ransomware. O incidente foi descoberto pela Cisco e as tentativas foram bloqueadas com sucesso desde que a descoberta ocorreu.

A seguir mencionamos todas as medidas de seguran√ßa recomendadas pela Cisco: –

  • Certifique-se de ativar o MFA.
  • Os funcion√°rios devem ser informados sobre quem devem contactar em caso de incidente desta natureza.
  • Aplique controles mais r√≠gidos em torno do status do dispositivo para garantir uma verifica√ß√£o robusta do dispositivo.
  • Dispositivos n√£o gerenciados ou desconhecidos devem ter seu registro e acesso restritos ou bloqueados.
  • Aplique um conjunto b√°sico de controles de seguran√ßa habilitando a verifica√ß√£o de postura antes de habilitar conex√Ķes VPN de endpoints remotos.
  • Outro importante controle de seguran√ßa √© a segmenta√ß√£o da rede.
  • A coleta de logs deve ser centralizada.
  • √Č importante manter uma estrat√©gia de backup offline e testar os backups periodicamente.
  • √Č recomendado realizar uma revis√£o da execu√ß√£o de linhas de comando em endpoints.

Ascens√£o dos trabalhadores remotos: uma lista de verifica√ß√£o para proteger sua rede ‚Äď Baixe o artigo t√©cnico gratuito

Além disso, leia

Logins de piloto da American e Southwest Airlines roubados em violação de dados

Ataque cibern√©tico da Universidade de Manchester ‚Äď Dados confidenciais roubados por hackers

Hyundai Hacked ‚Äď Atacantes Roubaram Dados Pessoais de Propriet√°rios de Carros

Table of Contents