Credito:Pixabay/CC0 di dominio pubblico
Cisco Systems Inc. ha affermato di essere stata vittima di un attacco informatico in cui un hacker ha tentato ripetutamente di accedere alla rete aziendale dell'azienda della Silicon Valley.
Cisco ha dichiarato di essere venuta a conoscenza di un potenziale compromesso il 24 maggio e lo ha divulgato mercoledì dopo che l'hacker ha fatto trapelare un elenco dei file che aveva rubato sul dark web.
Un'indagine ha stabilito che l'hacker è entrato nella rete di Cisco violando l'account Google personale di un dipendente, che ha sincronizzato le password salvate sul Web, ha affermato la società con sede a San Jose, in California, in un post sul blog pubblicato mercoledì. L'attaccante ha quindi finto di essere un'organizzazione affidabile durante le telefonate con il dipendente e ha convinto il dipendente ad accettare una notifica di autenticazione push multifattoriale sul proprio dispositivo. Ciò ha consentito all'hacker di accedere alla rete di Cisco utilizzando le credenziali del dipendente.
Cisco "non ha identificato alcuna prova che suggerisca che l'attaccante abbia ottenuto l'accesso a sistemi interni critici, come quelli relativi allo sviluppo del prodotto, alla firma del codice, ecc.", secondo il blog. "L'unica esfiltrazione di dati avvenuta con successo durante l'attacco includeva il contenuto di una cartella Box associata all'account di un dipendente compromesso. I dati ottenuti dall'avversario in questo caso non erano sensibili."
Gli investigatori hanno affermato di ritenere che l'attacco sia stato condotto da un avversario che è stato precedentemente identificato come un broker di accesso iniziale per diversi famigerati gruppi di criminalità informatica:operatori di ransomware UNC2447, Lapsus$ e Yanluowang. I broker di accesso iniziale tentano di ottenere un accesso privilegiato alle reti di computer aziendali per poi venderlo ad altri hacker.
L'UNC2447 è un "gruppo aggressivo con motivazioni finanziarie" che ha preso di mira organizzazioni con ransomware in Europa e Nord America, ha concluso l'anno scorso la società di sicurezza informatica Mandiant. Yanluowang, dal nome di una divinità cinese, è una variante di ransomware utilizzata contro le società statunitensi dall'agosto 2021, secondo Symantec. Il gruppo Lapsus$ è stato accusato di scatenare attacchi di alto profilo contro società tecnologiche tra cui Okta Inc., Microsoft Corp. e Nvidia Corp.
Bloomberg News ha riferito che la sospetta mente era un adolescente britannico di 16 anni che viveva a casa di sua madre.
Cisco ha affermato di aver trovato prove che l'hacker si stava preparando a crittografare i file ma non era riuscito a farlo prima che fossero rilevati e avviati. Ci sono stati ripetuti tentativi di riottenere l'accesso dopo che l'attacco era stato sfrattato, secondo Cisco.
L'hacking è stato precedentemente segnalato da Bleeping Computer. + Esplora ulteriormente
2022 Bloomberg L.P.
Distribuito da Tribune Content Agency, LLC.