Cisco Talos, una división de seguridad de Cisco informado que un grupo llamado "Yanluowang" mediante un ataque de ransomware ha logrado vulnerar la seguridad del sistemas de la compañía, en este ataque los ciberdelincuentes lograron sustraer algunos datos pero fue controlado a tiempo por los ingenieros de Talos.
Cisco Talos, la división de seguridad de Cisco comunico que mediante un actor de ransomware se logró la vulneración de su red de ciberseguridad en mayo de 2022, aunque la compañía aún no confirma la extracción de datos desde sus servidores, si dio informe del conocimiento de la brecha efectuada por primera vez el 24 de mayo, además confirma que la compañía ha estado trabajando para corregir la situación desde entonces.
Mediante este ciberataque se pudo sustraer las credenciales de un empleado de Talos utilizando técnicas sofisticadas, además de hacerse con el control de la cuenta personal de Google del empleado, donde se sincronizaban sus credenciales de Talos, y con métodos de ingeniería social como una serie de mensajes de phishing de voz convincentes de organizaciones aparentemente legítimas.
Los atacantes lograron convencer al funcionario de Talos para que aceptara un aviso de autenticación multifactor (MFA), lo que les concedió el control total de la cuenta y el acceso a la VPN de la empresa. Se tiene conocimiento de las críticas constantes sobre los avisos de MFA por ser explotables. Un procedimiento reiterado implica que un atacante bombardee el smartphone de un empleado de seguridad con notificaciones push de autorización MFA, a menudo en horas de sueño, esperando que sean aceptadas inadvertidamente, por exasperación o somnolencia.
Una vez dentro del sistema de Talos, los ciberdelincuentes procedieron a utilizar tácticas para mantener su presencia y destruir las pruebas de sus actividades. Pero luego la compañía logró expulsar a los atacantes y confirmó que los repetidos intentos de volver a entrar en el entorno a través de los métodos de persistencia desplegados fracasaron.
En su blog la compañía señaló “El CSIRT y Talos están respondiendo al evento, y no hemos encontrado ninguna evidencia de que el atacante obtuviera acceso a los sistemas internos críticos, como los relacionados con el desarrollo de productos, la firma de código, etc.”
Talos ha confirmado que se lograron sustraer algunos datos, pero que sólo se trataba del contenido de una carpeta de Box asociada al empleado hackeado, y que no se robaron otros datos. Este ataque se atribuye a un agente de acceso inicial (IAB) asociado a LAPSUS$ y a la banda de ransomware Yanluowang, aunque sin comentar los supuestos datos publicados en el sitio de filtraciones de la web profunda de este último grupo esta semana.
Por su parte Yanluowang publicó un archivo de texto en su sitio de filtraciones en línea, en el que afirmaba tener al menos 82 GB de datos. Estos incluían una amplia gama de acuerdos de no divulgación (NDA) aprobados, algunos de los cuales parecían implicar a empleados de Cisco con muchos años de antigüedad. El documento de texto de la organización del ransomware incluía numerosos nombres completos que aparecían en los nombres de los archivos.
El grupo de ciberdelincuentes se puso inmediatamente en contacto con BleepingComputer con los archivos que decía haber robado. En los chats compartidos con el editor, Yanluowang afirmó haber ofrecido a Talos un muy buen trato y que si Talos accedía a pagar el rescate, nadie se enteraría del incidente y de la pérdida de datos.
El momento del ataque, la filtración de datos por parte de Yanluowang y la publicación de la entrada del blog de Talos han llevado a los expertos a afirmar que los actores de la amenaza forzaron a Talos a revelar la información. Por su parte la compañía afirma que Cada incidente de ciberseguridad es una oportunidad para aprender, fortalecer la resiliencia y ayudar a la comunidad de seguridad en general.