Cisco meldet Cyber-Angriff – Erpresser bieten wohl Daten an

B2B Cyber Security ShortNews

Beitrag teilen

Bereits am 24. Mai 2022 bemerkte Cisco, dass die Login-Daten eines Mitarbeiters abgefischt und missbraucht wurden. Cisco hat zwar zu der Attacke Stellung bezogen, aber keine Angaben zu gestohlenen Daten gemacht.  Die Yanluowang Ransomware-Bande will 2,8 GByte Daten erbeutet haben und bietet diese anscheinend zum Verkauf an.

Am 24. Mai 2022 wurde Cisco auf eine potenzielle Kompromittierung aufmerksam. Seitdem arbeiten Cisco Security Incident Response (CSIRT) und Cisco Talos an der Behebung des Problems. Während der Untersuchung wurde festgestellt, dass die Anmeldeinformationen eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Anmeldeinformationen synchronisiert wurden.

Anzeige

Erfolgreiche Voice-Phishing-Angriffe

Der Angreifer führte eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durch, die versuchten, das Opfer davon zu überzeugen, vom Angreifer initiierte Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren. Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm Zugriff auf VPN im Kontext des Zielbenutzers gewährte.

Die Cisco-Angreifer geben an Daten erbeutet zu haben und wollen Lösegeld dafür (Bild: Cisco).

CSIRT und Talos untersuchten das Ereignis und fanden keine Beweise dafür, dass der Angreifer Zugang zu kritischen internen Systemen erlangt hat und so wichtige Informationen abgreifen konnte. Nach Erhalt des ersten Zugriffs führte der Bedrohungsakteur eine Vielzahl von Aktivitäten durch, um den Zugriff aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf Systeme innerhalb der Umgebung zu erhöhen.

Angreifer erkannt und ausgesperrt

Laut Cisco wurde der Bedrohungsakteur erfolgreich aus der Umgebung entfernt. Allerdings zeigte er wohl Beharrlichkeit, indem er in den Wochen nach dem Angriff wiederholt versuchte erneut Zugriff zu erlangen; Diese Versuche waren jedoch erfolglos. Cisco schätzt mit mittlerer bis hoher Zuversicht, dass dieser Angriff von einem Angreifer durchgeführt wurde, der zuvor als Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Cybercrime-Gang, der Lapsus$-Bedrohungsakteursgruppe und den Yanluowang-Ransomware-Betreibern identifiziert wurde. Cisco listet weitere Informationen auf seiner Cisco Response-Seite auf.

Die Seite Bleeping Computer berichtet allerdings, dass die Yanluowang Ransomware-Bande 2,8 GByte an Daten erbeutet hätte und diese nun im Darknet zum Verkauf anbietet. Einige Screenshot sollen dies belegen. Weiterhin hat die Gruppe Yanluowang am 10.08.22 auf ihrer Leakseite gepostet, dass die Zeit abgelaufen sei und dass es „auf ihrer Seite ab diesem Zeitpunkt interessantes geben wird“.

Mehr bei Cisco.com

 

Passende Artikel zum Thema

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

KI-Sicherheitsmemorandum in den USA

Die KI-Sicherheit steht an einem Wendepunkt. Das erste National Security Memorandum (NSM) für künstliche Intelligenz markiert einen wichtigen Meilenstein – ➡ Weiterlesen

Deutschland gibt über 10 Milliarden Euro für Cybersicherheit aus

Angesichts der zunehmenden Bedrohung durch Cyberangriffe investiert Deutschland verstärkt in IT-Sicherheit. Im laufenden Jahr steigen die entsprechenden Ausgaben um 13,8 ➡ Weiterlesen