Via een persoonlijk Google-account van een werknemer hebben hackers beperkte toegang gehad tot het Cisco-netwerk. In totaal werd 2,75 GB aan data gestolen, goed voor ongeveer 3.700 bestanden.
Cisco maakt vandaag bekend dat hackers in mei toegang hebben gehad tot hun bedrijfsnetwerk. Hackerscollectief Yanleowang claimt de aanval en verkoopt alle gestolen documenten op het dark web. Er werd geen ransomware uitgerold, Cisco spreekt enkel over datadiefstal.
In een statement claimt de netwerkgigant dat de aanval geen impact had op hun business en dat geen informatie werd gekaapt rond Cisco-producten of diensten, gevoelige klanteninformatie, werknemersgegevens, intellectuele eigendommen of logistieke operaties.
De hackers konden via een persoonlijk Google-account van een werknemer toegang krijgen tot het bedrijfsnetwerk. Volgens Cisco Talos hebben ze succesvol data gestolen uit een Box-account gekoppeld aan de getroffen werknemer. Bij een aantal toestellen hebben ze MFA ingeschakeld en ze konden succesvol inloggen op de VPN van Cisco.
Daarna escaleerde de hacker administrator-privileges, waarna het Cisco Security Incident Response Team (CSIRT) in actie schoot. Alles werd opgeschoond en de hackerscollectief werd buitengesloten.
Voice-phishing
De getroffen werknemer werd via voice-phishing in de val gelokt. Door zich voor te doen als verschillende bedrijven tijdens meerdere oproepen heeft de werknemer zich één keer laten foppen en een neppe MFA-notificatie aanvaardt.
lees ook
Hopen dat phishing verdwijnt is geen oplossing, een betere bescherming wel
Eens ze binnen waren, konden ze lateraal verschillende Citrix-servers scannen om uiteindelijk toegang te krijgen tot domeincontrollers. Als domeinadministrator gebruikten ze tools zoals ntdsutil, adfind en secretsdump om data te ontfutselen en tegelijk een backdoor installeren naast andere payloads.
Beschikbaar op het dark web
Nadat Cisco de hackers kon vatten, werden al hun rechten ingetrokken en zuiverden ze alle getroffen diensten. Hackers bleven daarna meermaals connectie maken, tevergeefs. Ze probeerden daarna in communicatie te treden met hooggeplaatste werknemers binnen Cisco om geld te krijgen voor de gestolen data. Tevergeefs, want al die data staat nu te koop op het dark web.
Waarom dan nu pas met de wereld delen, bijna drie maanden na de feiten? Volgens Cisco wilde men zoveel mogelijk data verzamelen rond de hackers om de security-community te helpen. Eens de data te koop werd aangeboden op het dark web, voelde Cisco zich verplicht om de hack te melden.