Cisco meldet Cyber-Angriff – Erpresser bieten wohl Daten an

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Bereits am 24. Mai 2022 bemerkte Cisco, dass die Login-Daten eines Mitarbeiters abgefischt und missbraucht wurden. Cisco hat zwar zu der Attacke Stellung bezogen, aber keine Angaben zu gestohlenen Daten gemacht.  Die Yanluowang Ransomware-Bande will 2,8 GByte Daten erbeutet haben und bietet diese anscheinend zum Verkauf an.

Am 24. Mai 2022 wurde Cisco auf eine potenzielle Kompromittierung aufmerksam. Seitdem arbeiten Cisco Security Incident Response (CSIRT) und Cisco Talos an der Behebung des Problems. Während der Untersuchung wurde festgestellt, dass die Anmeldeinformationen eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Anmeldeinformationen synchronisiert wurden.

Anzeige

Erfolgreiche Voice-Phishing-Angriffe

Der Angreifer führte eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durch, die versuchten, das Opfer davon zu überzeugen, vom Angreifer initiierte Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren. Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm Zugriff auf VPN im Kontext des Zielbenutzers gewährte.

Die Cisco-Angreifer geben an Daten erbeutet zu haben und wollen Lösegeld dafür (Bild: Cisco).

CSIRT und Talos untersuchten das Ereignis und fanden keine Beweise dafür, dass der Angreifer Zugang zu kritischen internen Systemen erlangt hat und so wichtige Informationen abgreifen konnte. Nach Erhalt des ersten Zugriffs führte der Bedrohungsakteur eine Vielzahl von Aktivitäten durch, um den Zugriff aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf Systeme innerhalb der Umgebung zu erhöhen.

Anzeige
WatchGuard_Banner_0922

Angreifer erkannt und ausgesperrt

Laut Cisco wurde der Bedrohungsakteur erfolgreich aus der Umgebung entfernt. Allerdings zeigte er wohl Beharrlichkeit, indem er in den Wochen nach dem Angriff wiederholt versuchte erneut Zugriff zu erlangen; Diese Versuche waren jedoch erfolglos. Cisco schätzt mit mittlerer bis hoher Zuversicht, dass dieser Angriff von einem Angreifer durchgeführt wurde, der zuvor als Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Cybercrime-Gang, der Lapsus$-Bedrohungsakteursgruppe und den Yanluowang-Ransomware-Betreibern identifiziert wurde. Cisco listet weitere Informationen auf seiner Cisco Response-Seite auf.

Die Seite Bleeping Computer berichtet allerdings, dass die Yanluowang Ransomware-Bande 2,8 GByte an Daten erbeutet hätte und diese nun im Darknet zum Verkauf anbietet. Einige Screenshot sollen dies belegen. Weiterhin hat die Gruppe Yanluowang am 10.08.22 auf ihrer Leakseite gepostet, dass die Zeit abgelaufen sei und dass es „auf ihrer Seite ab diesem Zeitpunkt interessantes geben wird“.

Mehr bei Cisco.com

 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen

Was das „neue Normal“ für die Cloud-Sicherheit bedeutet

Die Corona-Krise hat nicht nur gezeigt, wie wichtig Cloud-Services für Unternehmen sind. Nach der Krise soll es ein „neues Normal“ ➡ Weiterlesen