10 августа 2022 года Cisco подтвердила факт взлома своих корпоративных систем. Инцидент с проникновением и развёртыванием зловредного ПО внутри периметра организации произошёл в конце мая. Хакеры утверждают, что похитили 2,75 ГБ данных из сети компании, включая конфиденциальные документы и технологические чертежи сетевых устройств.
Cisco сообщила, что злоумышленники смогли скопировать неконфиденциальные данные, к которым был доступ у взломанной учётной записи сотрудника.
Список части из, якобы, украденных файлов с серверов Cisco.Эксперты Cisco Talos рассказали, что хакеры получили доступ к сети Cisco, используя украденные учётные данные сотрудника после взлома его личной учётной записи Google, которая была синхронизирована для входа во внутреннюю сеть через браузер. Причем хакеры в процессе атаки убедили сотрудника Cisco назвать им данные из пуш-уведомления системы многофакторной аутентификации (MFA) с помощью голосовой фишинговой атаки, выдав себя за сотрудника техподдержки компании.
После этого хакеры смогли получить доступ к VPN компании через учётку пользователя. Потом злоумышленники попытались распространить в корпоративной сети инструменты вируса-шифровальщика Yanluowang. Им удалось это сделать на некоторых серверах и контроллерах домена Citrix. «Они перешли в среду Citrix, скомпрометировав ряд серверов, и в конечном итоге получили привилегированный доступ к контроллерам домена», — пояснили в Cisco Talos.
Получив права администратора домена, хакеры использовали специальное ПО и инструменты ntdsutil, adfind и secretsdump для сбора дополнительной информации. Злоумышленники смогли развернуть на скомпрометированных серверах несколько зловредов, включая бэкдор.
Через некоторое время эксперты Cisco обнаружили вторжение, изолировали доступ хакерам и вытеснили их из корпоративной среды. В течение нескольких недель хакеры продолжали попытки восстановить доступ к внутренним системам компании.
«После получения первоначального доступа злоумышленники предприняли ряд действий для его скрытого сохранения, сведя к минимуму наличие артефактов и подозрительных логов в скомпрометированных системах», — пояснили в Cisco Talos. Эксперты компании смогли обнаружить и удалить все зловреды, но хакеры успели скачать некоторые файлы из внутренней сети. В компании пояснили, что в ходе атаки никакие файлы на серверах зашифрованы или удалены не были.
Хакеры рассказали Bleeping Computer, что смогли похитить около 3100 файлов, включая документы партнёров с соглашениями о неразглашении, дампы данных и технические чертежи. Они собираются опубликовать эту информацию, если компания не выплатит выкуп.
