A Cisco Systems confirmou que foi vítima de um ataque cibernético em 24 de maio de 2022, depois que os invasores obtiveram acesso a conta pessoal do Google de um funcionário que continha senhas sincronizadas de seu navegador da web.
Cisco Talos, braço de pesquisa de ameaças da empresa, detalhou o ataque em um artigo:
O acesso inicial à VPN da Cisco foi alcançado por meio do comprometimento bem-sucedido da conta pessoal do Google de um funcionário da Cisco.
O usuário habilitou a sincronização de senhas via Google Chrome e armazenou suas credenciais da Cisco em seu navegador, permitindo que essas informações fossem sincronizadas com sua conta do Google.
Detalhes forenses do ataque levam os pesquisadores da Cisco Talos a atribuir o ataque ao grupo Yanluowang, que mantêm ligações com o UNC2447 e o Lapsus$ Group.
Essa divulgação ocorre após a publicação de uma lista de arquivos no site de vazamento de dados de cibercriminosos associados ao grupo de ransomware Yanluowang em 10 de agosto. Yanluowang, nome dado em homenagem a uma divindade chinesa, é uma variante de ransomware usada contra corporações nos EUA, Brasil e Turquia desde agosto de 2021.
As informações vazadas incluíam o conteúdo de uma pasta de armazenamento em nuvem que estava associada à conta do funcionário comprometido e acredita-se que não tenha incluído nenhum dado valioso.
Além do roubo de credenciais, havia também elementos adicionais de vishing (também conhecido como phishing de voz) para enganar a vítima e fornecer acesso ao cliente VPN.
Os cibercriminosos utilizaram um tipo de ataque chamado "MFA fatigue". Cisco Talos descreve a técnica como:
O processo de enviar um alto volume de solicitações push para o dispositivo móvel do alvo até que o usuário aceite, acidentalmente ou simplesmente para tentar silenciar as notificações push repetidas que estão recebendo.
Depois que o invasor obteve o acesso inicial, ele registrou uma série de novos dispositivos para MFA e se autenticou com sucesso na VPN da Cisco.
O invasor então escalou para privilégios administrativos, permitindo que eles fizessem login em vários sistemas, o que alertou nossa equipe de resposta a incidentes de segurança da Cisco (CSIRT).
As ferramentas usadas pelos invasores incluem LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Em resposta ao ataque, a Cisco implementou uma redefinição de senha em toda a empresa. Além disso, criou duas assinaturas do Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) como precaução para desinfetar quaisquer ativos adicionais comprometidos. O Clam AntiVirus Signatures (ou ClamAV) é um kit de ferramentas antimalware multiplataforma capaz de detectar uma variedade de malware e vírus.
Por fim, o relatório da Cisco Talos conclui:
Os agentes de ameaças geralmente usam técnicas de engenharia social para comprometer alvos e, apesar da frequência desses ataques, as organizações continuam enfrentando desafios para mitigar essas ameaças. A educação do usuário é fundamental para impedir esses ataques, incluindo garantir que os funcionários conheçam as maneiras legítimas pelas quais a equipe de suporte entrará em contato com os usuários para que os funcionários possam identificar tentativas fraudulentas de obter informações confidenciais.
A empresa enfatizou que o incidente não teve impacto em suas operações comerciais ou resultou em acesso não autorizado a dados confidenciais de clientes, informações de funcionários e propriedade intelectual.
Fontes: Threatpost, The Hacker News e Bleeping Computer
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk
