Cisco is eind mei getroffen door een hackaanval waarbij data uit het netwerk werd buitgemaakt. Het gaat om een initial access broker die nauwe relaties onderhoudt met verschillende ransomware-groepen. Daaronder valt hackgroep Lapsus$, die eerder datalekken bij grote techbedrijven veroorzaakte.
Cisco maakte onlangs bekend dat het eind mei getroffen is door een cyberaanval waarbij data is buitgemaakt. Deze bekentenis komt nadat hackers op het darkweb een lijst met onderdelen van de ontvreemde gegevens openbaar hebben gemaakt.
De aanval is uitgevoerd door het kraken van een persoonlijke Google-account van een Cisco-medewerker. De medewerker had voor zijn account het synchroniseren van Cisco-inloggegevens in Google Chrome geactiveerd, waardoor de wachtwoorden met de Google-account werden gesynchroniseerd.
Via social hacking en belletjes namens een ‘vertrouwde organisatie’ slaagden de hackers er vervolgens in een multifactor push authenticatie-notificatie te accepteren op zijn device. Hierdoor kregen de hackers toegang tot het Cisco-netwerk via de inloggegevens van de betreffende medewerker. Vervolgens waren zij in staat de data te stelen.
Geen kritieke gegevens ontvreemd
Cisco geeft aan dat de hackers geen toegang kregen tot kritieke systemen, zoals voor productontwikkeling of code. De enige data die werd ontvreemd betrof de inhoud van een Box-map die aan de betreffende account van de medewerker was verbonden. De zich hierin bevindende data waren volgens Cisco niet gevoelig.
Wel installeerde de hacker diverse tools die bewegingen van data en het exfiltreren van data moesten faciliteren. Ook liet de aanvaller een aantal payloads achter die momenteel nog door Cisco worden bestudeerd.
Aanval uit gevoerd door IAB voor Lapsus$
Uit het verdere onderzoek constateert Cisco dat de aanvaller opereerde als initial access broker (IAB) voor bekende ransomware-hackergroepen. Hierbij worden de hackersgroepen UNC2447 en Yanluowang genoemd, maar ook Lapsus$. IAB’s proberen vaak privileged access tot bedrijfsnetwerken te verkrijgen en deze informatie te verkopen aan andere hackers.
De IAB probeerde zelf niet direct een ransomware-aanval uit te voeren, maar trof wel voorbereidingen voor het versleutelen van bestanden. Dit lukte niet, aangezien hij is ontdekt en uit het systeem is verwijderd. De hacker heeft daarna wel vaker geprobeerd opnieuw toegang te krijgen.
Cisco geeft aan dat het na het ontdekken van de aanval direct alle wachtwoorden van zijn medewerkers gereset heeft.
Tip: De snelle opkomst en (waarschijnlijke) ondergang van Lapsus$