A gigante das redes diz que os invasores obtiveram acesso inicial ao cliente VPN de um funcionário por meio de uma conta do Google comprometida.
A Cisco Systems revelou detalhes de um hack em maio do grupo de ransomware Yanluowang que aproveitou a conta do Google de um funcionário comprometido.
A gigante das redes está chamando o ataque de “comprometimento potencial” em uma postagem de quarta-feira pelo próprio braço de pesquisa de ameaças Cisco Talos da empresa.
“Durante a investigação, foi determinado que as credenciais de um funcionário da Cisco foram comprometidas depois que um invasor obteve o controle de uma conta pessoal do Google, onde as credenciais salvas no navegador da vítima estavam sendo sincronizadas”, escreveu Cisco Talos em um longo detalhamento do ataque.
Detalhes forenses do ataque levaram os pesquisadores do Cisco Talos a atribuir o ataque ao grupo de ameaças Yanluowang, que eles afirmam ter ligações tanto com o UNC2447 quanto com as notórias gangues cibernéticas Lapsus$.
Em última análise, Cisco Talos disse que os adversários não tiveram sucesso na implantação de malware ransomware, mas tiveram sucesso em penetrar em sua rede e implantar um quadro de ferramentas de hacking ofensivas e realizar reconhecimento de rede interna “comumente observado antes da implantação de ransomware em ambientes de vítimas”.
Superando o MFA para acesso VPN
O ponto crucial do hack foi a capacidade dos invasores de comprometer o utilitário Cisco VPN do funcionário visado e acessar a rede corporativa usando esse software VPN.
“O acesso inicial à Cisco VPN foi obtido através do comprometimento bem-sucedido da conta pessoal do Google de um funcionário da Cisco. O usuário ativou a sincronização de senha via Google Chrome e armazenou suas credenciais Cisco em seu navegador, permitindo que essas informações fossem sincronizadas com sua conta Google”, escreveu Cisco Talos.
Com credenciais em sua posse, os invasores usaram uma infinidade de técnicas para contornar a autenticação multifatorial vinculada ao cliente VPN. Os esforços incluíram phishing de voz e um tipo de ataque chamado fadiga de MFA. Cisco Talos descreve a técnica de ataque de fadiga MFA como “o processo de envio de um grande volume de solicitações push para o dispositivo móvel do alvo até que o usuário aceite, seja acidentalmente ou simplesmente para tentar silenciar as repetidas notificações push que está recebendo”.
A Falsificação de MFA os ataques realizados contra funcionários da Cisco foram bem-sucedidos e permitiram que os invasores executassem o software VPN como o funcionário alvo da Cisco. “Depois que o invasor obteve o acesso inicial, ele registrou uma série de novos dispositivos para MFA e autenticou-os com sucesso na VPN Cisco”, escreveram os pesquisadores.
“O invasor então passou para privilégios administrativos, permitindo-lhes fazer login em vários sistemas, o que alertou nossa equipe de resposta a incidentes de segurança da Cisco (CSIRT), que posteriormente respondeu ao incidente”, disseram.
As ferramentas usadas pelos invasores incluíam LogMeIn e TeamViewer e também ferramentas de segurança ofensivas, como Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Embora a MFA seja considerada uma postura de segurança essencial para as organizações, está longe de ser à prova de hackers. Mês passado, Pesquisadores da Microsoft descobriram um maciço Phishing campanha que pode roubar credenciais mesmo se um usuário tiver a autenticação multifator (MFA) habilitada e até agora tentou comprometer mais de 10,000 organizações.
Cisco destaca sua resposta a incidentes
Em resposta ao ataque, a Cisco implementou imediatamente uma redefinição de senha em toda a empresa, de acordo com o relatório Cisco Talos.
“Nossas descobertas e subsequentes proteções de segurança resultantes desses compromissos com os clientes nos ajudaram a desacelerar e conter a progressão do invasor”, escreveram eles.
A empresa então criou duas assinaturas Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) como precaução para desinfetar quaisquer possíveis ativos adicionais comprometidos. Clam AntiVirus Signatures (ou ClamAV) é um kit de ferramentas antimalware multiplataforma capaz de detectar uma variedade de malware e vírus.
“Os atores de ameaças geralmente usam técnicas de engenharia social para comprometer os alvos e, apesar da frequência de tais ataques, as organizações continuam a enfrentar desafios para mitigar essas ameaças. A educação do usuário é fundamental para impedir tais ataques, incluindo garantir que os funcionários conheçam as formas legítimas pelas quais o pessoal de suporte entrará em contato com os usuários, para que os funcionários possam identificar tentativas fraudulentas de obter informações confidenciais”, escreveu Cisco Talos.
- blockchain
- violação
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- hacks
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
- zefirnet
