Escrito por: Johan Cifuentes- Cyber Security Engineer
Cisco informó que el grupo de ransomware denominado Yanluowang comprometió su red interna y amenazó con filtrar archivos robados el pasado mes de mayo.
Los atacantes engañaron a un empleado de la compañía convenciéndolo de aceptar notificaciones automáticas de autenticación multifactor (MFA) haciéndose pasar por organizaciones de soporte confiables; una vez lograron secuestrar la cuenta personal de Google en dónde se almacenaban las credenciales VPN sincronizadas desde el navegador, obtuvieron acceso a la red de Cisco.
Cisco indicó que si bien no se encontró prueba de la implementación de un ransomware en el ataque; las técnicas, tácticas y procedimientos utilizados fueron relacionados con actividad comúnmente realizada antes de la implementación de un ransomware.
Los atacantes afirman haber capturado 2,75 GB de datos asociados a archivos de volcados de datos, dibujos de ingeniería y acuerdos de confidencialidad. Sin embargo, cisco asegura que no se identificó ningún impacto frente a los productos y servicios, datos confidenciales de clientes o empleados, operaciones de la cadena de suministro o propiedad intelectual.
Recomendaciones
Agregar los diferentes indicadores de compromiso reportados en el siguiente enlace https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html en las herramientas y dispositivos de seguridad que lo permitan.
Fomentar campañas de sensibilización a los usuarios con el fin de prevenir ser víctimas de las distintas.
técnicas de ingeniería social.
Fuentes
- https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
- https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/
- https://blog.elhacker.net/2022/08/cisco-informa-de-un-incidente-de-seguridad-grupo-ransomware-Yanluowang.html
- https://unaaldia.hispasec.com/2022/08/cisco-afectada-por-ransomware-yanluowang.html
