Cisco Systems revelou informações acerca de um ataque de maio realizado pelo grupo ransomware Yanluowang, que aproveitou a conta do Google de um colaborador comprometido.
A empresa de tecnologia de rede descreveu o ataque como um “compromisso potencial” em um post feito pela própria equipe de pesquisa de ameaças da Cisco Talos na quarta-feira.
Durante a análise, foi determinado que as credenciais de um empregado da Cisco foram comprometidas depois que um invasor conseguiu acesso a uma conta pessoal do Google, onde as credenciais armazenadas no navegador da vítima estavam sendo sincronizadas, descreveu a Cisco Talos em um relatório minucioso do ataque.
Os detalhes examinados pela Cisco Talos apontam que o ataque tem ligações com o grupo de ameaça Yanluowang, mantendo conexões com UNC2447 e a temida Lapsus$. Estas são gangues cibernéticas conhecidas.
Por fim, a Cisco Talos declarou que os inimigos não conseguiram instalar malware ransomware eficientemente, entretanto, obtiveram sucesso ao invadir a rede e implantar uma bateria de ferramentas de hacking ofensivas, assim como fazer reconhecimento de rede interna, que geralmente é o primeiro passo para a implementação de ransomware em sistemas de vítimas.
Desviando-se da MFA para obter acesso à VPN.
O “cri-cri” do hack foi a habilidade dos invasores de se infiltrar no programa Cisco VPN do empregado alvo e, assim, conquistar acesso à rede corporativa usando esse programa de VPN.
O acesso inicial à VPN Cisco foi obtido por meio da invasão bem-sucedida da conta pessoal do Google de um trabalhador da Cisco. O indivíduo habilitou a sincronização de senha através do Chrome e armazenou suas identificações da Cisco no navegador, possibilitando que as informações sejam sincronizadas para a conta do Google, de acordo com o Cisco Talos.
Os atacantes, com as credenciais em mãos, usaram uma variedade de táticas para burlar a autenticação multifator ligada à VPN do cliente. Entre os esforços estavam o phishing por voz e uma forma de ataque conhecida como “fadiga MFA”. Segundo a Cisco Talos, a técnica de fadiga MFA é “o processo de enviar um grande volume de pedidos push para o dispositivo móvel do destinatário até que aceite, seja acidentalmente ou para simplesmente tentar acalmar as notificações de push em loop que está recebendo”.
A MFA foi exitosa em atacar os funcionários da Cisco por meio de spoofing, o que lhes permitiu rodar o programa VPN como o funcionário-alvo. “Depois de obterem acesso inicial, os invasores se registraram em vários dispositivos da MFA e conseguiram autenticar a Cisco VPN com sucesso”, relatam os especialistas.
O agressor, em seguida, elevou seus direitos para acesso administrativo, o que permitiu a eles se registrarem em diferentes servidores, o que desencadeou um alerta de nossa equipe de resposta a incidentes Cisco Security (CSIRT) e que, por consequência, reagiu ao ocorrido, disse.
Utilizando LogMeIn e TeamViewer, os atacantes conseguem acessar recursos. Além disso, eles também podem usar ferramentas de segurança ofensivas como Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Embora a autenticação multifator seja considerada uma medida de segurança imprescindível para as organizações, não está imune a hackeamentos. Em setembro, pesquisadores da Microsoft detectaram uma campanha de phishing que conseguiu acessar credenciais mesmo que os usuários tivessem MFA ativado, e que já atingiu mais de 10.000 empresas.
A Cisco se orgulha de sua resposta a incidentes de segurança que é de primeira categoria.
A Cisco agiu de forma pronta e decidida, realizando uma mudança das senhas em toda a sua organização, segundo o relatório da Cisco Talos.
Nossas descobertas e as precauções de segurança tomadas como resultado desses engajamentos de clientes nos ajudaram a reduzir e bloquear a ação do invasor, disseram.
A empresa criou duas assinaturas Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) como uma precaução para limpar quaisquer ativos maliciosos possivelmente identificados. O Clam AntiVirus Signatures (ClamAV) é um conjunto de ferramentas multi-plataforma que detecta vários tipos de malware e vírus.
Muitas vezes, os atores usam técnicas de engenharia social para atingir seus alvos. Apesar de esses ataques serem comuns, as organizações ainda enfrentam desafios para lidar com essas ameaças. A conscientização do usuário é essencial para combater tais ataques, pois os funcionários devem saber como o suporte entrará em contato com eles de forma legítima, para que eles possam detectar tentativas fraudulentas de obter informações confidenciais, de acordo com a Cisco Talos.
Receba este artigo.
- A temperatura alcançou o seu ponto mais alto já registrado.
- Amigavelmente, eu gostaria muito de lhe pedir um favor.
