Cisco a confirmé avoir subi une cyberattaque, causée par la compromission des identifiants de connexion d’un employé.
Alors que Cisco affirme n’avoir subi aucune conséquence majeure de l’incident de mai 2022, l’acteur menaçant, qui a pu s’attarder un peu sur le réseau avant d’être expulsé, supplie de différer.
Selon Cisco, les attaquants sont des courtiers d’accès initiaux liés au gang cybercriminel UNC2447, au groupe d’acteurs menaçants Lapsus $ et au rançongiciel Yanluowang. (s’ouvre dans un nouvel onglet) les opérateurs. Ils ont réussi à infiltrer le compte Google personnel d’un employé, qui était synchronisé avec son navigateur et qui conservait toutes les données de connexion.
Faire sortir l’intrus
Après cela, l’attaquant a mené une « série d’attaques de phishing vocales sophistiquées » qui ont conduit l’employé à accepter les notifications push d’authentification multifacteur (MFA).
Cela leur a donné accès au VPN dans le contexte de l’utilisateur ciblé, qu’ils ont utilisé pour se déplacer latéralement vers les serveurs Citrix et les contrôleurs de domaine. « Ils sont passés à l’environnement Citrix, compromettant une série de serveurs Citrix et ont finalement obtenu un accès privilégié aux contrôleurs de domaine », a déclaré Cisco dans son annonce. (s’ouvre dans un nouvel onglet).
C’est à ce moment-là, selon Cisco, qu’ils ont été repérés et expulsés. « L’acteur de la menace a été retiré avec succès de l’environnement et a fait preuve de persévérance, tentant à plusieurs reprises de retrouver l’accès dans les semaines qui ont suivi l’attaque ; cependant, ces tentatives ont échoué.
Bien que l’entreprise affirme qu’aucun préjudice grave n’a été causé, les assaillants ont contacté BipOrdinateur (s’ouvre dans un nouvel onglet), pour prétendre le contraire, prétendant avoir volé plus de 3 000 fichiers, y compris des NDA, des vidages de données et des dessins techniques. La base de données entière pèse 2,75 Go et a été publiée sur le site de fuite de données de l’extorqueur.
Cisco a minimisé l’importance du vol, affirmant que les données n’étaient pas sensibles et provenaient du dossier Box de l’employé compromis.
« Cisco n’a identifié aucun impact sur nos activités à la suite de cet incident, y compris les produits ou services Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la chaîne d’approvisionnement », a-t-il déclaré.
« Le 10 août, les mauvais acteurs ont publié une liste de fichiers de cet incident de sécurité sur le dark web. Nous avons également mis en place des mesures supplémentaires pour protéger nos systèmes et partageons des détails techniques pour aider à protéger la communauté de la sécurité au sens large. »