da Hardware Upgrade :
Nessuno può considerarsi al sicuro dagli attacchi informatici, nemmeno le aziende che si occupano di cybersecurity. Recentemente, infatti, Cisco ha annunciato di aver subito un incidente informatico lo scorso maggio, attribuito al gruppo Yanluowang, specializzato in attacchi ransomware, che ne ha rivendicato la paternità. Secondo quanto dichiarato dalla multinazionale, non è però stato installato alcun ransomware nei sistemi, e l’impatto è stato limitato: nessuno dei prodotti o dei servizi Cisco è stato colpito e i criminali non sono riusciti a sottrarre alcun tipo di informazione né sui clienti né sui dipendenti dell’azienda, così come non sono stati in grado di trafugare dati sensibili sui prodotti.
Le uniche informazioni sottratte sono relative a un archivio di 2,75 GB (circa 3.700 file) recuperati dall’account Google personale di un dipendente.
Attacco a Cisco: ecco come gli attaccanti hanno superato le contromisure informatiche
A circa 3 mesi dalla scoperta della violazione, Cisco ha diffuso alcune informazioni tecniche sull’incidente, che è partito dalla violazione di un account Google personale di un dipendente. Da qui, i criminali informatici sono riusciti ad accedere alla lista di password salvate sull’account bucato, che includevano anche le credenziali per i sistemi Cisco.
Questi ultimi erano protetti da un sistema di autenticazione a due fattori, e per superare questo ostacolo gli attaccanti hanno condotto una serie di attacchi di “phishing vocale”: in parole più semplici, hanno contattato l’utente in questione spacciandosi per varie realtà sino anche sono riusciti a “convincerlo” ad accettare la notifica push. Questo ha permesso loro di superare la MFA e ad accedere alla VPN dell’utente in questione. Secondo quanto riportato dai ricercatori di Talos, il “trucco” consisteva nel mandare una quantità notevole di richieste di autorizzazione, sino a che l’utente, magari anche solo per errore, ne ha accettata una.
A questo punto hanno cercato di garantirsi un accesso stabile nei sistemi Cisco e a nascondere le loro tracce, oltre ad effettuare movimenti laterali per accedere ad altri server. Nello specifico, gli attaccanti sono riusciti a violare una serie di server Citrix.
I criminali hanno più volte tentato di scaricare file dai sistemi, senza però riuscirci: gli esperti di Talos confermano che gli unici dati sottratti rimangono quelli presenti nell’account Google violato. Dopo aver notato attività sospette, gli attaccanti sono stati estromessi dai sistemi e, nonostante differenti tentativi, non sono riusciti a riottenere l’accesso.
Secondo i ricercatori di Talos, l’attacco è da attribuire ai gruppi UNC2447 e Lapsus$, con la collaborazione del gruppo Yanluowang. Quest’ultimo, attivo nella scena ransomware, ha cercato di ricattare Cisco minacciando di diffondere informazioni sull’attacco e portando come prova una lista di file scaricati dall’account Google violato.