12 сентября хакеры опубликовали на закрытых форумах часть файлов Cisco. Это произошло после того, как компания отказалась платить выкуп за украденные данные.
Cisco подтвердила, что злоумышленники смогли скопировать неконфиденциальные данные, к которым был доступ у взломанной учётной записи сотрудника. Хакеры рассказали, что успели до блокировки своей деятельности скачать более 55 ГБ данных компании, включая несколько тысяч файлов с документами партнёров с соглашениями о неразглашении, дампов данных и технических чертежей сетевых устройств.
В компании пояснили, что в ходе атаки никакие файлы на серверах зашифрованы или удалены не были, хотя злоумышленники пытались это сделать, а утечка данных никак не повлияет на бизнес Cisco. В компании заявили, что хакеры не скачали никакой конфиденциальной информации и данных, касающихся интеллектуальной собственности и технических разработок производителя сетевого оборудования. «У нас нет доказательств, позволяющих предположить, что злоумышленники получили доступ к исходным кодам и разработкам Cisco», — рассказали в компании.
10 августа Cisco подтвердила факт взлома своих корпоративных систем. Инцидент с проникновением и развёртыванием зловредного ПО внутри периметра организации произошёл в конце мая.
Эксперты Cisco Talos рассказали, что хакеры получили доступ к сети Cisco, используя украденные учётные данные сотрудника после взлома его личной учётной записи Google, которая была синхронизирована для входа во внутреннюю сеть через браузер. Причём хакеры в процессе атаки убедили сотрудника Cisco назвать им данные из пуш-уведомления системы многофакторной аутентификации (MFA) с помощью голосовой фишинговой атаки, выдав себя за сотрудника техподдержки компании.
После этого хакеры смогли получить доступ к VPN компании через учётку пользователя. Потом злоумышленники попытались распространить в корпоративной сети инструменты вируса-шифровальщика Yanluowang. Им удалось это сделать на некоторых серверах и контроллерах домена Citrix. «Они перешли в среду Citrix, скомпрометировав ряд серверов, и в конечном итоге получили привилегированный доступ к контроллерам домена», — пояснили в Cisco Talos.
Получив права администратора домена, хакеры использовали специальное ПО и инструменты ntdsutil, adfind и secretsdump для сбора дополнительной информации. Злоумышленники смогли развернуть на скомпрометированных серверах несколько зловредов, включая бэкдор. Эксперты компании смогли обнаружить и удалить все зловреды, но хакеры успели скачать некоторые файлы из внутренней сети.