El gigante de las redes dice que los atacantes obtuvieron acceso inicial al cliente VPN de un empleado a través de una cuenta de Google comprometida.
Cisco Systems reveló los detalles de un ataque realizado en mayo por el grupo de ransomware Yanluowang que aprovechó la cuenta de Google de un empleado comprometido.
El gigante de las redes está llamando al ataque un "compromiso potencial" en una publicación del miércoles por el propio brazo de investigación de amenazas Cisco Talos de la compañía.
“Durante la investigación, se determinó que las credenciales de un empleado de Cisco se vieron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google donde se sincronizaban las credenciales guardadas en el navegador de la víctima”, escribió Cisco Talos en un extenso desglose del ataque.
Los detalles forenses del ataque llevaron a los investigadores de Cisco Talos a atribuir el ataque al grupo de amenazas Yanluowang, que mantienen vínculos tanto con el UNC2447 como con las notorias bandas cibernéticas Lapsus$.
En última instancia, Cisco Talos dijo que los adversarios no tuvieron éxito en la implementación de malware de ransomware, sin embargo, lograron penetrar en su red y plantar un cuadro de herramientas de piratería ofensivas y realizar un reconocimiento de la red interna "comúnmente observado antes de la implementación de ransomware en entornos de víctimas".
Engañando a MFA para el acceso VPN
El quid de la piratería fue la capacidad de los atacantes para comprometer la utilidad Cisco VPN del empleado objetivo y acceder a la red corporativa utilizando ese software VPN.
“El acceso inicial a la VPN de Cisco se logró mediante el compromiso exitoso de la cuenta personal de Google de un empleado de Cisco. El usuario había habilitado la sincronización de contraseñas a través de Google Chrome y había almacenado sus credenciales de Cisco en su navegador, lo que permitió que esa información se sincronizara con su cuenta de Google”, escribió Cisco Talos.
Con las credenciales en su poder, los atacantes utilizaron una multitud de técnicas para eludir la autenticación multifactor vinculada al cliente VPN. Los esfuerzos incluyeron phishing de voz y un tipo de ataque llamado fatiga MFA. Cisco Talos describe la técnica de ataque de fatiga MFA como "el proceso de enviar un gran volumen de solicitudes de inserción al dispositivo móvil del objetivo hasta que el usuario acepta, ya sea accidentalmente o simplemente para intentar silenciar las notificaciones de inserción repetidas que están recibiendo".
El Suplantación de MFA Los ataques aprovechados contra el empleado de Cisco finalmente tuvieron éxito y permitieron a los atacantes ejecutar el software VPN como el empleado de Cisco objetivo. “Una vez que el atacante obtuvo el acceso inicial, inscribió una serie de nuevos dispositivos para MFA y se autenticó con éxito en la VPN de Cisco”, escribieron los investigadores.
“El atacante luego escaló a privilegios administrativos, lo que le permitió iniciar sesión en múltiples sistemas, lo que alertó a nuestro Equipo de Respuesta a Incidentes de Seguridad de Cisco (CSIRT), quien posteriormente respondió al incidente”, dijeron.
Las herramientas utilizadas por los atacantes incluían LogMeIn y TeamViewer y también herramientas de seguridad ofensivas como Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Si bien MFA se considera una postura de seguridad esencial para las organizaciones, está lejos de ser a prueba de piratería. El mes pasado, Investigadores de Microsoft descubiertos Un masivo suplantación de identidad campaña que puede robar credenciales incluso si un usuario tiene habilitada la autenticación multifactor (MFA) y hasta ahora ha intentado comprometer a más de 10,000 organizaciones.
Cisco destaca su respuesta a incidentes
En respuesta al ataque, Cisco implementó un restablecimiento de contraseña en toda la empresa de inmediato, según el informe de Cisco Talos.
“Nuestros hallazgos y las subsiguientes protecciones de seguridad resultantes de esos compromisos con los clientes nos ayudaron a desacelerar y contener la progresión del atacante”, escribieron.
Luego, la empresa creó dos firmas de Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 y Win.Backdoor.Kolobko-9950676-0) como medida de precaución para desinfectar cualquier posible activo comprometido adicional. Clam AntiVirus Signatures (o ClamAV) es un conjunto de herramientas antimalware multiplataforma capaz de detectar una variedad de malware y virus.
“Los actores de amenazas comúnmente usan técnicas de ingeniería social para comprometer objetivos y, a pesar de la frecuencia de tales ataques, las organizaciones continúan enfrentando desafíos para mitigar esas amenazas. La educación del usuario es fundamental para frustrar tales ataques, lo que incluye asegurarse de que los empleados conozcan las formas legítimas en que el personal de soporte se comunicará con los usuarios para que los empleados puedan identificar los intentos fraudulentos de obtener información confidencial”, escribió Cisco Talos.
- blockchain
- incumplimiento
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- hacks
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
- zephyrnet
