Cisco confirme un vol de données - mais rien de grave
L'équipementier réseau Cisco confirme qu'un groupe de cybercriminels a accédé à son réseau en mai. Aucune donnée sensible n'a toutefois été volée lors de l'attaque, selon la société. Les pirates auraient harcelé un collaborateur de notifications d'authentification.
Des cybercriminels ont accédé au réseau d'entreprise de Cisco en mai 2022. L'équipementier réseau américain l'a confirmé le 10 août. Le groupe de ransomware responsable de l'attaque tente désormais de faire chanter l'entreprise avec les données volées lors de l'attaque, rapporte The Register. Cisco lui-même a levé l'alerte - les attaquants ont simplement volé des données non sensibles dans un dossier Box Cloud lié au compte d'un collaborateur attaqué.
L'incident n'a pas eu d'impact sur les activités de l'entreprise. Les produits, les services et les processus de la chaîne d'approvisionnement n'ont pas été affectés. Les cybercriminels n'ont pas non plus eu accès à des données sensibles de clients ou d'employés, ni à la propriété intellectuelle de Cisco, indique l'entreprise. Cisco a néanmoins pris des mesures pour améliorer la sécurité de ses propres systèmes - l'entreprise a réinitialisé tous les mots de passe dans l'ensemble de l'entreprise comme mesure immédiate. C'est ce qu'écrit le spécialiste des réseaux dans un billet de blog, dans lequel il donne également d'autres détails techniques sur l'attaque.
Le groupe cybercriminel Yangluowang affirme avoir volé 2,75 gigaoctets de données. Selon le gang de ransomware, nombre de ces fichiers étaient des accords de confidentialité, des dumps de données et des dessins techniques.
Données de connexion d'un collaborateur volées
Pour s'introduire dans le réseau de l'entreprise, le groupe de ransomware aurait d'abord détourné le compte Google privé d'un collaborateur et aurait ainsi volé ses données de connexion via la synchronisation du navigateur. Selon Bleepingcomputer, les pirates ont ensuite envoyé des notifications push d'authentification multifactorielle (MFA) jusqu'à ce que le collaborateur accepte finalement une demande MFA. Il s'agirait d'une méthode connue sous le nom de "MFA fatigue" - ou en français "fatigue MFA". Une série d'attaques de phishing vocal serait en revanche restée sans succès.
Selon Bleepingcomputer, une fois que les malfaiteurs ont pris pied dans le réseau de l'entreprise, ils se sont répandus sur les serveurs Citrix et les contrôleurs de domaine. Après avoir obtenu l'administration du domaine, ils ont utilisé des outils tels que ntdsutil, adfind et secretsdump pour collecter des informations supplémentaires. De même, les cybercriminels ont installé une série de logiciels malveillants sur les systèmes compromis, y compris une porte dérobée. Ils ont finalement été détectés par Cisco et retirés de l'environnement, mais ont tenté d'accéder à nouveau au cours des semaines suivantes, sans succès. Bien que le groupe Yangluowang soit connu pour ses attaques de ransomware - associées aux collectifs "UNC2447" et "Lapsus$" - aucun fichier n'a été crypté lors de l'attaque.