El fabricante de módems fue alcanzado por la banda Yanluowang. Entraron por una cuenta de Google de un empleado.
El gigante de las redes Cisco, uno de los mayores fabricantes de módems para conectarse a internet, confirmó que fue hackeado por un grupo de ransomware y que 2.8 GB de datos de la empresa se vieron comprometidos.
La información la publicó el grupo Yanluowang, que indicó en su blog que había depositado un ransomware en la compañía, un tipo de programa que encripta la información del usuario para que se vuelva inaccesible y pide un rescate en dinero a cambio. Al mismo tiempo, Talos, la división de ciberseguridad de Cisco, confirmó en su página la brecha de seguridad, pero negó que haya sido un ransomware.
La confirmación, que llegó a través de una publicación en el blog de Talos , indicó que Cisco se enteró por primera vez de un posible compromiso el 24 de mayo.
El posible compromiso se convirtió en una violación de seguridad de la red, confirmada luego de una investigación adicional por parte del equipo de Respuesta a incidentes de seguridad de Cisco (CSIRT).
“Cisco no identificó ningún impacto en nuestro negocio como resultado de este incidente, incluido ningún impacto en ningún producto o servicio de Cisco, datos confidenciales de clientes o información confidencial de empleados, propiedad intelectual de Cisco u operaciones de la cadena de suministro”, publicó la empresa.
“El 10 de agosto, los atacantes publicaron una lista de archivos de este incidente de seguridad en la dark web”, precisó Cisco que, por cotizar en bolsa, está obligada como empresa pública a notificar el incidente ante la Securities and Exchange Commission (SEC).
Cómo entraron a Cisco: por Google
Según el propio informe de Cisco, los ciberdelincuentes obtuvieron acceso a la red de Cisco utilizando las credenciales robadas de un empleado después de secuestrar la cuenta personal de Google de un empleado que tenía las credenciales sincronizadas desde su navegador.
El atacante convenció al empleado de Cisco para que aceptara las notificaciones automáticas de autenticación multifactor (MFA) a través de la técnica de “fatiga de MFA”.
Se trata de una forma de ataque en la que los actores de amenazas envían un flujo constante de solicitudes de autenticación de múltiples factores para molestar a un objetivo, con la esperanza de que finalmente acepte una para evitar que se generen.
También implementaron una serie de sofisticados ataques de phishing de voz iniciados por la banda de Yanluowang, que se hizo pasar por organizaciones de soporte de confianza.
Los actores de amenazas finalmente engañaron a la víctima para que aceptara una de las notificaciones de MFA y obtuvieron acceso a la VPN en el contexto del usuario objetivo.
Yanluowang, la banda que atacó a Cisco
La banda que atacó a cisco no es de los nombres grandes que están dando vuelta este año, como Lockbit, Hive o Conti. El grupo aparentemente eligió el nombre haciendo referencia a Yanluo Wang, una deidad china que se decía que era uno de los Reyes del Infierno.
A pesar de que se hagan conexiones con China, nunca es fácil determinar la nacionalidad de los atacantes, que incluso pueden tener afiliados en distintas partes del mundo, no se puede inferir de esto que sean chinos.
De hecho, si bien puede haber una conexión china en lo que respecta a quien codificó el software ransomware, eso no significa que el grupo tenga otro motivo que no sea la ganancia financiera criminal.
Lo que sí se sabe, al menos con cierto grado de certeza, es que Yanluowang probablemente surgió en agosto de 2021 con operaciones criminales de ransomware como servicio existentes conocidas como Fivehands y Thieflock.