Cisco meldet Cyber-Angriff – Erpresser bieten wohl Daten an

B2B Cyber Security ShortNews

Beitrag teilen

Bereits am 24. Mai 2022 bemerkte Cisco, dass die Login-Daten eines Mitarbeiters abgefischt und missbraucht wurden. Cisco hat zwar zu der Attacke Stellung bezogen, aber keine Angaben zu gestohlenen Daten gemacht.  Die Yanluowang Ransomware-Bande will 2,8 GByte Daten erbeutet haben und bietet diese anscheinend zum Verkauf an.

Am 24. Mai 2022 wurde Cisco auf eine potenzielle Kompromittierung aufmerksam. Seitdem arbeiten Cisco Security Incident Response (CSIRT) und Cisco Talos an der Behebung des Problems. Während der Untersuchung wurde festgestellt, dass die Anmeldeinformationen eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Anmeldeinformationen synchronisiert wurden.

Erfolgreiche Voice-Phishing-Angriffe

Der Angreifer führte eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durch, die versuchten, das Opfer davon zu überzeugen, vom Angreifer initiierte Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren. Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm Zugriff auf VPN im Kontext des Zielbenutzers gewährte.

Die Cisco-Angreifer geben an Daten erbeutet zu haben und wollen Lösegeld dafür (Bild: Cisco).

CSIRT und Talos untersuchten das Ereignis und fanden keine Beweise dafür, dass der Angreifer Zugang zu kritischen internen Systemen erlangt hat und so wichtige Informationen abgreifen konnte. Nach Erhalt des ersten Zugriffs führte der Bedrohungsakteur eine Vielzahl von Aktivitäten durch, um den Zugriff aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf Systeme innerhalb der Umgebung zu erhöhen.

Angreifer erkannt und ausgesperrt

Laut Cisco wurde der Bedrohungsakteur erfolgreich aus der Umgebung entfernt. Allerdings zeigte er wohl Beharrlichkeit, indem er in den Wochen nach dem Angriff wiederholt versuchte erneut Zugriff zu erlangen; Diese Versuche waren jedoch erfolglos. Cisco schätzt mit mittlerer bis hoher Zuversicht, dass dieser Angriff von einem Angreifer durchgeführt wurde, der zuvor als Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Cybercrime-Gang, der Lapsus$-Bedrohungsakteursgruppe und den Yanluowang-Ransomware-Betreibern identifiziert wurde. Cisco listet weitere Informationen auf seiner Cisco Response-Seite auf.

Die Seite Bleeping Computer berichtet allerdings, dass die Yanluowang Ransomware-Bande 2,8 GByte an Daten erbeutet hätte und diese nun im Darknet zum Verkauf anbietet. Einige Screenshot sollen dies belegen. Weiterhin hat die Gruppe Yanluowang am 10.08.22 auf ihrer Leakseite gepostet, dass die Zeit abgelaufen sei und dass es “auf ihrer Seite ab diesem Zeitpunkt interessantes geben wird”.

Mehr bei Cisco.com

 

Passende Artikel zum Thema

Kurios: Malware-Entwickler verrät sich selbst durch Fehler

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der ➡ Weiterlesen

NIS2-Richtlinie für die Cybersicherheit in der EU

Die Einführung der NIS2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt ➡ Weiterlesen

Best-of-Breed für die Cybersicherheit

Geschichte wiederholt sich, auch im Bereich der Cybersicherheit. Es gibt Zyklen der Konsolidierung und der Modularisierung. Aktuell wird Konsolidierung wieder ➡ Weiterlesen

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen

Ransomware-Attacken: 6 von 10 Unternehmen angegriffen

Die Bitkom hat mehr als 1.000 Unternehmen in Deutschland befragt: Mehr als die Hälfte der Unternehmen werden Opfer von Ransomware-Attacken ➡ Weiterlesen