El 10 de agosto Cisco admitió que había detectado una brecha de seguridad el 24 de mayo. La admisión fue motivada por un grupo de ransomware llamado Yanluowang que afirmó haber obtenido gigabytes de información y publicó una lista de archivos supuestamente robados de Cisco.
Los hackers ahora han publicado los archivos reales robados de Cisco y la compañía ha confirmado que se originaron en sus sistemas. “El contenido de estos archivos coincide con lo que ya identificamos y divulgamos”, dijo Cisco en una actualización compartida el domingo. “Nuestro análisis anterior de este incidente permanece sin cambios: seguimos sin ver ningún impacto en nuestro negocio, incluidos los productos o servicios de Cisco, los datos confidenciales de los clientes o la información confidencial de los empleados, la propiedad intelectual o las operaciones de la cadena de suministro”.
En agosto, Cisco atribuyó el ataque a un corredor de acceso inicial con vínculos con el actor de amenazas UNC2447 vinculado a Rusia, la pandilla Lapsus$ y el grupo de ransomware Yanluowang. La compañía dijo que el atacante había atacado a uno de sus empleados. Afirmó que solo se robaron archivos no confidenciales almacenados en una cuenta de Box y datos de autenticación de empleados de Active Directory. Los hackers inicialmente obtuvieron las credenciales de Cisco del empleado y luego usaron ingeniería social y otros métodos para eludir la autenticación multifactor (MFA) y obtener información adicional.
Una vez que se logró el acceso inicial, comenzaron a descartar herramientas de post-explotación y acceso remoto, aumentaron los privilegios, crearon puertas traseras y se movieron lateralmente dentro de la red. El ransomware de cifrado de archivos no se implementó en el ataque y, aunque el actor de amenazas envió correos electrónicos a los ejecutivos de Cisco después de que se descubrió la violación, no hizo amenazas específicas ni demandas de extorsión.
