Cisco ramt af cyberangreb fra hacker knyttet til Lapsus$-banden

Cisco Systems Inc. sagde, at det var offer for et cyberangreb, hvor en hacker gentagne gange forsøgte at få adgang til Silicon Valley-firmaets firmanetværk.

Cisco sagde, at det blev opmærksom på et potentielt kompromis den 24. maj, og afslørede det onsdag, efter at hackeren lækkede en liste over de filer, den havde stjålet på det mørke web.

En undersøgelse fastslog, at hackeren brød ind i Ciscos netværk ved at knække ind i en medarbejders personlige Google-konto, som synkroniserede deres gemte adgangskoder på tværs af nettet, sagde den San Jose, Californien-baserede virksomhed i et blogindlæg offentliggjort onsdag. Angriberen foregav derefter at være betroede organisationer under telefonopkald med medarbejderen og overtalte medarbejderen til at acceptere en multifaktor push-godkendelsesmeddelelse til deres enhed. Det gjorde det muligt for hackeren at få adgang til Ciscos netværk ved hjælp af medarbejderens legitimationsoplysninger.

Cisco havde "ikke identificeret beviser, der tyder på, at angriberen fik adgang til kritiske interne systemer, såsom dem, der er relateret til produktudvikling, kodesignering osv.," ifølge bloggen. "Den eneste vellykkede dataeksfiltrering, der fandt sted under angrebet, omfattede indholdet af en Box-mappe, der var forbundet med en kompromitteret medarbejders konto. De data, som modstanderen indhentede i dette tilfælde, var ikke følsomme."

Efterforskere sagde, at de mener, at angrebet blev udført af en modstander, der tidligere er blevet identificeret som en indledende adgangsmægler for flere berygtede cyberkriminalitetsgrupper:UNC2447, Lapsus$ og Yanluowang ransomware-operatører. Indledende adgangsmæglere forsøger at få privilegeret adgang til virksomhedens computernetværk og derefter sælge den til andre hackere.

UNC2447 er en "aggressiv økonomisk motiveret gruppe", der har rettet sig mod organisationer med ransomware i Europa og Nordamerika, konkluderede cybersikkerhedsfirmaet Mandiant sidste år. Yanluowang, opkaldt efter en kinesisk guddom, er en ransomware-variant, der er blevet brugt mod amerikanske virksomheder siden august 2021, ifølge Symantec. Lapsus$-gruppen blev anklaget for at gå amok af højprofilerede angreb mod teknologivirksomheder, herunder Okta Inc., Microsoft Corp. og Nvidia Corp.

Bloomberg News rapporterede, at den formodede bagmand var en 16-årig britisk teenager, der boede hjemme hos sin mor.

Cisco sagde, at det fandt beviser på, at hackeren forberedte sig på at kryptere filer, men ikke havde nået at gøre det, før de blev opdaget og startet op. Der var gentagne forsøg på at genvinde adgang efter angrebet var blevet smidt ud, ifølge Cisco.

Hacket er tidligere rapporteret af Bleeping Computer. + Udforsk yderligere

Okta afviser databrud, efter hackere hævder, at de har fået adgang til intern information

2022 Bloomberg L.P.
Distribueret af Tribune Content Agency, LLC.