Un grupo de ciberdelincuentes filtró archivos robados a principios de este año de Cisco, pero el gigante de las redes mantiene su evaluación inicial del incidente y dice que no hay impacto en su negocio.
Cisco admitió el 10 de agosto que había detectado una brecha de seguridad el 24 de mayo. La admisión fue motivada por un grupo de ransomware llamado Yanluowang que afirmó haber obtenido gigabytes de información y publicó una lista de archivos supuestamente robados de Cisco.
Los hackers ahora han publicado los archivos reales robados de Cisco y la compañía ha confirmado que se originaron en sus sistemas.
“El contenido de estos archivos coincide con lo que ya identificamos y divulgamos”, dijo Cisco en una actualización compartida el domingo. “Nuestro análisis anterior de este incidente permanece sin cambios: seguimos sin ver ningún impacto en nuestro negocio, incluidos los productos o servicios de Cisco, los datos confidenciales de los clientes o la información confidencial de los empleados, la propiedad intelectual o las operaciones de la cadena de suministro”.
En agosto, Cisco atribuyó el ataque a un corredor de acceso inicial con vínculos con el actor de amenazas UNC2447 vinculado a Rusia, la pandilla Lapsus$ y el grupo de ransomware Yanluowang.
La compañía dijo que el atacante había atacado a uno de sus empleados. Afirmó que solo se robaron archivos no confidenciales almacenados en una cuenta de Box y datos de autenticación de empleados de Active Directory.
Los hackers inicialmente obtuvieron las credenciales de Cisco del empleado y luego usaron ingeniería social y otros métodos para eludir la autenticación multifactor (MFA) y obtener información adicional.
Una vez que se logró el acceso inicial, comenzaron a descartar herramientas de post-explotación y acceso remoto, aumentaron los privilegios, crearon puertas traseras y se movieron lateralmente dentro de la red.
El ransomware de cifrado de archivos no se implementó en el ataque y, aunque el actor de amenazas envió correos electrónicos a los ejecutivos de Cisco después de que se descubrió la violación, no hizo amenazas específicas ni demandas de extorsión.
El ransomware de cifrado de archivos Yanluowang surgió en 2021 y se ha utilizado para atacar a organizaciones de todo el mundo, incluidas corporaciones financieras en los Estados Unidos.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.