Cisco взломана группировкой вымогателей Yanluowang, связанной с Lapsus$

Cisco заявила, что ей стало известно об атаке 24 мая. А 10 августа 2022 года компания подтвердила факт взлома, после того как хакеры опубликовали список похищенных файлов в дарквебе.

В ходе расследования было установлено, что злоумышленники проникли в корпоративную сеть Cisco, взломав личный Google -аккаунт сотрудника компании, который хранил все пароли в браузере. Затем, один из хакеров притворился представителем доверенной организации во время телефонного разговора с сотрудником и убедил его принять принять push-уведомление от приложения, отвечающего за многофакторную аутентификацию. Это и позволило киберпреступникам проникнуть в корпоративную сеть Cisco.

Скриншот от злоумышленников, отправленный Cisco. Предположительно, хакеры украли 2,8 ГБ информации.

Cisco не удалось обнаружить никаких доказательств того, что злоумышленники получили доступ к важным внутренним системам, связанным с разработкой продуктов, подписанием кода и т.д. Все, что Yanluowang смогли украсть – содержимое папки Box, связанной с учетной записью сотрудника.

Однако, по словам экспертов компании, хакеры готовились зашифровать некоторые файлы в системе Cisco, но были быстро обнаружены и отключены от системы. После этого, злоумышленники еще несколько раз пытались восстановить доступ, но эти попытки не увенчались успехом.