Cisco meldet Cyber-Angriff – Erpresser bieten wohl Daten an

B2B Cyber Security ShortNews

Beitrag teilen

Bereits am 24. Mai 2022 bemerkte Cisco, dass die Login-Daten eines Mitarbeiters abgefischt und missbraucht wurden. Cisco hat zwar zu der Attacke Stellung bezogen, aber keine Angaben zu gestohlenen Daten gemacht.  Die Yanluowang Ransomware-Bande will 2,8 GByte Daten erbeutet haben und bietet diese anscheinend zum Verkauf an.

Am 24. Mai 2022 wurde Cisco auf eine potenzielle Kompromittierung aufmerksam. Seitdem arbeiten Cisco Security Incident Response (CSIRT) und Cisco Talos an der Behebung des Problems. Während der Untersuchung wurde festgestellt, dass die Anmeldeinformationen eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Anmeldeinformationen synchronisiert wurden.

Anzeige

Erfolgreiche Voice-Phishing-Angriffe

Der Angreifer führte eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durch, die versuchten, das Opfer davon zu überzeugen, vom Angreifer initiierte Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren. Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm Zugriff auf VPN im Kontext des Zielbenutzers gewährte.

Die Cisco-Angreifer geben an Daten erbeutet zu haben und wollen Lösegeld dafür (Bild: Cisco).

CSIRT und Talos untersuchten das Ereignis und fanden keine Beweise dafür, dass der Angreifer Zugang zu kritischen internen Systemen erlangt hat und so wichtige Informationen abgreifen konnte. Nach Erhalt des ersten Zugriffs führte der Bedrohungsakteur eine Vielzahl von Aktivitäten durch, um den Zugriff aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf Systeme innerhalb der Umgebung zu erhöhen.

Angreifer erkannt und ausgesperrt

Laut Cisco wurde der Bedrohungsakteur erfolgreich aus der Umgebung entfernt. Allerdings zeigte er wohl Beharrlichkeit, indem er in den Wochen nach dem Angriff wiederholt versuchte erneut Zugriff zu erlangen; Diese Versuche waren jedoch erfolglos. Cisco schätzt mit mittlerer bis hoher Zuversicht, dass dieser Angriff von einem Angreifer durchgeführt wurde, der zuvor als Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Cybercrime-Gang, der Lapsus$-Bedrohungsakteursgruppe und den Yanluowang-Ransomware-Betreibern identifiziert wurde. Cisco listet weitere Informationen auf seiner Cisco Response-Seite auf.

Die Seite Bleeping Computer berichtet allerdings, dass die Yanluowang Ransomware-Bande 2,8 GByte an Daten erbeutet hätte und diese nun im Darknet zum Verkauf anbietet. Einige Screenshot sollen dies belegen. Weiterhin hat die Gruppe Yanluowang am 10.08.22 auf ihrer Leakseite gepostet, dass die Zeit abgelaufen sei und dass es „auf ihrer Seite ab diesem Zeitpunkt interessantes geben wird“.

Mehr bei Cisco.com

 

Passende Artikel zum Thema

Cyberangriff auf Bundeswehr-Universität

Die Universität der Bundeswehr München ist zum Ziel einer Cyberattacke geworden. Bei dem Vorfall sind potenziell zahlreiche Datensätze von Studenten ➡ Weiterlesen

Datenleck bei der Online-Wett-Plattform 1win

Die Online-Wett-Plattform 1win erlebte im November einen Angriff, bei dem Daten von rund 96 Millionen Nutzern in die Hände der ➡ Weiterlesen

Missbrauch von Open-Source-Software wie DeepSeek

Kaum online haben es Cyberkriminelle bereits auf das neue KI-Startup DeepSeek abgesehen. Bisher hat DeepSeek keine konkreten Details zu aktuellen ➡ Weiterlesen

Risiko? – 32 Millionen Windows-10-Computer in Deutschland

In Deutschland arbeiten immer noch rund 32 Millionen Computer mit Windows 10 als Betriebssystem – sehr viele davon auch in ➡ Weiterlesen

Sicherheitslücke in AWS ermöglichte Angriff auf Amazon-Cloud-Instanzen

Amazon Web Services (AWS) ist für viele Unternehmen das Rückgrat ihrer digitalen Infrastruktur. Doch eine Entdeckung von Datadog zeigte: Eine ➡ Weiterlesen

Phishing-Attacken via SVG-Grafikdateien

Eine Analyse zeigt einen sprunghaften Anstieg von Phishing-Attacken mit SVG-Grafikdateien. Über die genutzten SVG-Grafik- und Bilddateien wird aktuell viel Malware ➡ Weiterlesen

Testergebnisse: Endpoint-Schutz für MacOS

Das Labor des AV-TEST Instituts hat Ende 2024 bekannte Sicherheitslösungen für MacOS untersucht. Die Produkte für Unternehmen und Einzelplatz-Macs wurden ➡ Weiterlesen

Verschlüsselung gegen Datenhunger

Die Wirtschaft, Staaten und die KI fordern immer mehr Daten von allem und jedem. Unerheblich welcher Initiator dahinter steckt - ➡ Weiterlesen