Vn-Z.vn Ngày 11 tháng 08 năm 2022, Hôm nay Cisco xác nhận rằng nhóm ransomware Yanluowang đã hack vào công ty của họ trong khoảng thời gian cuối tháng 5 năm 2020. Hacker đã cố gắng tống tiền họ với đe dọa phát tán các dữ liệu bị đánh cắp. CISCO cho biết , hacker chỉ có thể thu thập và đánh cắp những dữ liệu không nhạy cảm từ thư mục Driver Box được liên kết với tài khoản của nhân viên CISCO bị hack.
Theo BleepingComputer , phát ngôn của CISCO cho biết “Cisco đã gặp sự cố bảo mật trên mạng công ty vào cuối tháng 5 năm 2022 và chúng tôi đã ngay lập tức hành động để ngăn chặn và tiêu diệt các tác nhân xấu”.
"Cisco không xác định được bất kỳ tác động nào ảnh hưởng đến hoạt động kinh doanh của chúng tôi do hậu quả của sự cố này, bao gồm các sản phẩm hoặc dịch vụ của Cisco, dữ liệu khách hàng nhạy cảm hoặc thông tin nhân viên nhạy cảm, sở hữu trí tuệ hoặc hoạt động chuỗi cung ứng.
Ngày 10 tháng 8, những kẻ xấu đã công bố danh sách các dữ liệu từ sự cố bảo mật này lên web đen. Chúng tôi cũng đã thực hiện các biện pháp bổ sung bảo vệ hệ thống của mình và đang chia sẻ các chi tiết kỹ thuật giúp bảo vệ cộng đồng bảo mật rộng lớn hơn."
Email đe dọa từ Yanluowang gửi cho Cisco
Nhóm Ransomware Yanluowang đã giành được quyền truy cập vào mạng của Cisco bằng cách sử dụng thông tin đăng nhập bị đánh cắp của một nhân viên CISCO . Tài khoản của nhân viên này bị chiếm đoạt tài khoản Google cá nhân có chứa thông tin đăng nhập được đồng bộ hóa từ trình duyệt . Hacker liên tục tạo các thông báo xác nhận khiến nhân viên của Cisco chấp nhận thông báo xác thực đa yếu tố (MFA) , hacker gây sức ép thông qua MFA bằng một loạt các hành vi lừa đảo giả mạo giọng nói tinh vi do băng nhóm Yanluowang.
Sau khi liên tục thông báo xác thực MFA, cuối cùng hacker đã đã lừa được nạn nhân chấp nhận một trong các thông báo MFA và có được quyền truy cập vào VPN trong mạng của CISXO, Yanluowang tiếp tục leo thang và lan rộng sang các máy chủ Citrix và bộ điều khiển domain.
Sau khi giành được quyền admin domains , hacker sử dụng các công cụ liệt kê như ntdsutil, adfind và secretdump để thu thập thêm thông tin và cài đặt một loạt các mã độc backdoor. Tuy nhiên Cisco đã phát hiện và ngăn chặn khỏi môi trường của mình, nhưng hacker vẫn tiếp tục cố gắng lấy lại quyền truy cập trong những tuần tiếp theo đều không thành công.
Hacker Yanluowang tuyên bố đã đánh cắp 2,75GB dữ liệu, bao gồm khoảng 3.100 tệp. Nhiều tệp trong số này là các thỏa thuận không tiết lộ, nơi chứa dữ liệu và bản vẽ kỹ thuật. Hacker cũng cung cấp bản NDA cho giới truyền thông nhằm chứng minh rằng dữ liệu của họ đã đánh cắp từ CISCO.
Phản hồi từ phía CISCO
Cisco cũng cho biết, mặc dù nhóm hacker Yanluowang nổi tiếng với việc mã hóa các tập tin của nạn nhân bằng ransomware , nhưng CISCO không tìm thấy bằng chứng nào về việc tải và cài phần mềm tống tiền trong cuộc tấn công.
Nhóm Yanluowang gần đây cũng tuyên bố đã xâm nhập vào hệ thống của nhà bán lẻ Mỹ Walmart, tuy nhiên Walmart phủ nhận cuộc tấn công này.
Vn-Z.vn team tổng hợp tham khảo Bleepingcomputer
Theo BleepingComputer , phát ngôn của CISCO cho biết “Cisco đã gặp sự cố bảo mật trên mạng công ty vào cuối tháng 5 năm 2022 và chúng tôi đã ngay lập tức hành động để ngăn chặn và tiêu diệt các tác nhân xấu”.
"Cisco không xác định được bất kỳ tác động nào ảnh hưởng đến hoạt động kinh doanh của chúng tôi do hậu quả của sự cố này, bao gồm các sản phẩm hoặc dịch vụ của Cisco, dữ liệu khách hàng nhạy cảm hoặc thông tin nhân viên nhạy cảm, sở hữu trí tuệ hoặc hoạt động chuỗi cung ứng.
Ngày 10 tháng 8, những kẻ xấu đã công bố danh sách các dữ liệu từ sự cố bảo mật này lên web đen. Chúng tôi cũng đã thực hiện các biện pháp bổ sung bảo vệ hệ thống của mình và đang chia sẻ các chi tiết kỹ thuật giúp bảo vệ cộng đồng bảo mật rộng lớn hơn."
Email đe dọa từ Yanluowang gửi cho Cisco
Nhóm Ransomware Yanluowang đã giành được quyền truy cập vào mạng của Cisco bằng cách sử dụng thông tin đăng nhập bị đánh cắp của một nhân viên CISCO . Tài khoản của nhân viên này bị chiếm đoạt tài khoản Google cá nhân có chứa thông tin đăng nhập được đồng bộ hóa từ trình duyệt . Hacker liên tục tạo các thông báo xác nhận khiến nhân viên của Cisco chấp nhận thông báo xác thực đa yếu tố (MFA) , hacker gây sức ép thông qua MFA bằng một loạt các hành vi lừa đảo giả mạo giọng nói tinh vi do băng nhóm Yanluowang.
Sau khi liên tục thông báo xác thực MFA, cuối cùng hacker đã đã lừa được nạn nhân chấp nhận một trong các thông báo MFA và có được quyền truy cập vào VPN trong mạng của CISXO, Yanluowang tiếp tục leo thang và lan rộng sang các máy chủ Citrix và bộ điều khiển domain.
Sau khi giành được quyền admin domains , hacker sử dụng các công cụ liệt kê như ntdsutil, adfind và secretdump để thu thập thêm thông tin và cài đặt một loạt các mã độc backdoor. Tuy nhiên Cisco đã phát hiện và ngăn chặn khỏi môi trường của mình, nhưng hacker vẫn tiếp tục cố gắng lấy lại quyền truy cập trong những tuần tiếp theo đều không thành công.
Hacker Yanluowang tuyên bố đã đánh cắp 2,75GB dữ liệu, bao gồm khoảng 3.100 tệp. Nhiều tệp trong số này là các thỏa thuận không tiết lộ, nơi chứa dữ liệu và bản vẽ kỹ thuật. Hacker cũng cung cấp bản NDA cho giới truyền thông nhằm chứng minh rằng dữ liệu của họ đã đánh cắp từ CISCO.
Phản hồi từ phía CISCO
Cisco cũng cho biết, mặc dù nhóm hacker Yanluowang nổi tiếng với việc mã hóa các tập tin của nạn nhân bằng ransomware , nhưng CISCO không tìm thấy bằng chứng nào về việc tải và cài phần mềm tống tiền trong cuộc tấn công.
Nhóm Yanluowang gần đây cũng tuyên bố đã xâm nhập vào hệ thống của nhà bán lẻ Mỹ Walmart, tuy nhiên Walmart phủ nhận cuộc tấn công này.
Vn-Z.vn team tổng hợp tham khảo Bleepingcomputer
