El día de hoy, Cisco confirmó que fue víctima de un ciberataque el pasado 24 de mayo de 2022, después de que los atacantes se apoderaron de la cuenta personal de Google de uno de los empleados que contenía contraseñas sincronizadas desde su navegador web. Se estima que la cantidad de datos exfiltrados es de 2.8 GB en total.
Los responsables de la filtración es de una banda de Ransomware llamada, Yanluowang, que lleva el nombre de una deidad china, y es una variante de ransomware que se ha utilizado contra organizaciones en los Estados Unidos, Brasil y Turquía desde agosto de 2021. A principios de abril, una falla en su algoritmo de cifrado permitió a la empresa de ciberseguridad Kaspersky el descifrar el malware y ofrecer un descifrador gratuito para ayudar a las víctimas.
La revelación se produce cuando la banda de ransomware, Yanluowang, publicará una lista de archivos el día de ayer y siendo rápidamente propagada por diferentes expertos, grupos y empresas de ciberseguridad en las redes sociales.
«El acceso inicial a la VPN de Cisco se logró a través de un ataque de phishing exitoso a la cuenta personal de Google de un empleado de Cisco«, dijo Cisco Talos en un escrito detallado. «El usuario había habilitado la sincronización de contraseñas a través de Google Chrome y había almacenado sus credenciales de Cisco en su navegador, lo que permitía que esa información se sincronizara con su cuenta de Google«.
La información exfiltrada, según Talos, incluía el contenido de una carpeta de almacenamiento en la nube de Box, que estaba asociada con la cuenta del empleado comprometido y no se cree que haya incluido ningún dato valioso.
Además del robo de credenciales, también hubo un elemento adicional de phishing en el que el adversario recurrió a métodos de recolección de información como el vishing (también conocido como phishing de voz) y la fatiga de la autenticación de multifactor (MFA) para engañar a la víctima para que proporcionara acceso a la cuenta correspondiente.
La fatiga del MFA o bombardeo rápido es el nombre dado a una técnica utilizada por los actores de amenazas para inundar la aplicación de autenticación de un usuario con notificaciones push con la esperanza de que cedan y, por lo tanto, permitan a un atacante obtener acceso no autorizado a una cuenta.
«El atacante finalmente logró una su cometido del empuje de MFA, otorgándoles acceso a VPN en el marco del usuario objetivo«, señaló Talos.
Al establecer un punto de apoyo inicial de acceso en el entorno, el atacante se movió para registrar una serie de nuevos dispositivos para el MFA y escaló a privilegios administrativos, dándoles amplios permisos para iniciar sesión en varios sistemas, una acción que también llamó la atención de los equipos de seguridad de Cisco.
El actor de amenazas, que atribuyó a un corredor de acceso inicial (IAB), se ha registrado que tiene diferentes vínculos con la banda de cibercriminales UNC2447, el grupo de actores de amenazas LAPSUS$ y los operadores de ransomware Yanluowang. Además de ello, también los responsables del hecho, tomaron medidas para agregar sus propias cuentas para generar una puerta trasera y mecanismos de persistencia.
Además, se dice que el actor de amenaza ha desplegado una variedad de herramientas, incluidas utilidades de acceso remoto como LogMeIn y TeamViewer, herramientas de seguridad ofensivas como Cobalt Strike, PowerSploit, Mimikatz e Impacket destinadas a aumentar su nivel de acceso a los sistemas dentro de la red.
«Después de establecer el acceso a la VPN, el atacante comenzó a usar la cuenta de usuario comprometida para iniciar sesión en una gran cantidad de sistemas antes de comenzar a pivotar aún más en el entorno«, explicó. «Se mudaron al entorno Citrix, comprometiendo una serie de servidores Citrix y, finalmente, obtuvieron acceso privilegiado a los controladores de dominio«.
Los actores de amenazas también se observaron moviendo archivos entre sistemas dentro del entorno utilizando el Protocolo de Escritorio Remoto de Windows (RDP) y Citrix, modificando las configuraciones de firewall basadas en host, sin mencionar de que la puesta en escena del conjunto de herramientas han sido instaladas en un directorio bajo el perfil de usuario público en los hosts comprometidos.
Cisco señaló además que los atacantes, después de ser expulsados de la red, intentaron establecer comunicaciones por correo electrónico con los ejecutivos de la compañía en tres oportunidades, instándolos a pagar y que «nadie sabrá sobre el incidente y la fuga de información«. El correo electrónico también incluía una captura de pantalla de la lista de directorios de la carpeta Exfiltrated Box.
Además de iniciar un restablecimiento de contraseña en toda la compañía, la firma con sede en San José, enfatizó que el incidente no tuvo ningún impacto en sus operaciones comerciales o resultó en acceso no autorizado a datos confidenciales de clientes, información de empleados y propiedad intelectual, y agregó que «bloqueó con éxito los intentos» de acceder a su red desde entonces.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
