Il gigante delle reti afferma che gli aggressori hanno ottenuto l'accesso iniziale al client VPN di un dipendente tramite un account Google compromesso.
Cisco Systems ha rivelato i dettagli di un hack di maggio da parte del gruppo ransomware Yanluowang che ha sfruttato l'account Google di un dipendente compromesso.
Il gigante del networking definisce l'attacco un "potenziale compromesso" in un post di mercoledì dal braccio di ricerca sulle minacce Cisco Talos della società.
"Durante l'indagine, è stato stabilito che le credenziali di un dipendente Cisco sono state compromesse dopo che un utente malintenzionato ha ottenuto il controllo di un account Google personale in cui venivano sincronizzate le credenziali salvate nel browser della vittima", ha scritto Cisco Talos in una lunga analisi dell'attacco.
I dettagli forensi dell'attacco hanno portato i ricercatori di Cisco Talos ad attribuire l'attacco al gruppo di minacce Yanluowang, che secondo loro ha legami sia con l'UNC2447 che con i famigerati cybergang di Lapsus$.
In definitiva, Cisco Talos ha affermato che gli avversari non sono riusciti a distribuire malware ransomware, tuttavia sono riusciti a penetrare nella sua rete e a installare un gruppo di strumenti di hacking offensivi e a condurre ricognizioni di rete interne "comunemente osservate prima dell'implementazione di ransomware negli ambienti delle vittime".
Superare in astuzia l'AMF per l'accesso VPN
Il punto cruciale dell'hacking è stata la capacità degli aggressori di compromettere l'utilità Cisco VPN del dipendente preso di mira e di accedere alla rete aziendale utilizzando quel software VPN.
“L'accesso iniziale alla VPN Cisco è stato ottenuto tramite il compromesso riuscito dell'account Google personale di un dipendente Cisco. L'utente aveva abilitato la sincronizzazione della password tramite Google Chrome e aveva memorizzato le proprie credenziali Cisco nel browser, consentendo a tali informazioni di sincronizzarsi con il proprio account Google", ha scritto Cisco Talos.
Con le credenziali in loro possesso, gli aggressori hanno quindi utilizzato una moltitudine di tecniche per aggirare l'autenticazione a più fattori legata al client VPN. Gli sforzi includevano il phishing vocale e un tipo di attacco chiamato affaticamento da MFA. Cisco Talos descrive la tecnica di attacco per fatica MFA come "il processo di invio di un volume elevato di richieste push al dispositivo mobile del target fino a quando l'utente non accetta, accidentalmente o semplicemente per tentare di silenziare le notifiche push ripetute che stanno ricevendo".
I Spoofing dell'AMF gli attacchi sfruttati contro il dipendente Cisco alla fine hanno avuto successo e hanno consentito agli aggressori di eseguire il software VPN come dipendente Cisco preso di mira. "Una volta che l'attaccante ha ottenuto l'accesso iniziale, ha registrato una serie di nuovi dispositivi per l'autenticazione a più fattori e si è autenticato con successo su Cisco VPN", hanno scritto i ricercatori.
"L'attaccante è quindi passato ai privilegi di amministratore, consentendo loro di accedere a più sistemi, il che ha allertato il nostro Cisco Security Incident Response Team (CSIRT), che ha successivamente risposto all'incidente", hanno affermato.
Gli strumenti utilizzati dagli aggressori includevano LogMeIn e TeamViewer e anche strumenti di sicurezza offensivi come Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Sebbene l'AMF sia considerata una posizione di sicurezza essenziale per le organizzazioni, è tutt'altro che a prova di hacker. Lo scorso mese, Scoperti i ricercatori Microsoft un massiccio phishing campagna che può rubare le credenziali anche se un utente ha abilitato l'autenticazione a più fattori (MFA) e finora ha tentato di compromettere più di 10,000 organizzazioni.
Cisco mette in evidenza la sua risposta agli incidenti
In risposta all'attacco, Cisco ha implementato immediatamente una reimpostazione della password a livello aziendale, secondo il rapporto Cisco Talos.
"I nostri risultati e le successive protezioni di sicurezza risultanti da tali interazioni con i clienti ci hanno aiutato a rallentare e contenere la progressione dell'attaccante", hanno scritto.
L'azienda ha quindi creato due firme Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) come precauzione per disinfettare eventuali risorse aggiuntive compromesse. Clam AntiVirus Signatures (o ClamAV) è un toolkit antimalware multipiattaforma in grado di rilevare una varietà di malware e virus.
“Gli attori delle minacce utilizzano comunemente tecniche di ingegneria sociale per compromettere gli obiettivi e, nonostante la frequenza di tali attacchi, le organizzazioni continuano a dover affrontare sfide per mitigare tali minacce. La formazione degli utenti è fondamentale per contrastare tali attacchi, incluso assicurarsi che i dipendenti conoscano i modi legittimi in cui il personale di supporto contatterà gli utenti in modo che i dipendenti possano identificare i tentativi fraudolenti di ottenere informazioni sensibili", ha scritto Cisco Talos.
- blockchain
- violazione
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- hack
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
- zefiro
