Cisco bestätigt Cyberangriff

11. August 2022, 09:33
  • security
  • cyberangriff
  • ransomware
  • cisco
image
Foto: Cisco

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

Am 24. Mai 2022 habe Cisco einen Sicherheitsvorfall identifiziert, der auf die IT-Infrastruktur abzielte, teilte das Unternehmen am 10. August mit. Die Mitteilung erfolgte am selben Tag, an dem sich die Ransomware-Bande Yanluowang im Darkweb zur Attacke bekannte und behauptete, dabei auch Daten erbeutet zu haben.
"Die Angreifer veröffentlichten eine Liste von Dateien dieses Sicherheitsvorfalls im Darkweb", bestätigt auch Cisco. Vor dieser Offenlegung habe Cisco aktiv Informationen über die Angreifer gesammelt, "um zum Schutz der Sicherheitsgemeinschaft beizutragen". Deshalb sei man erst jetzt an die Öffentlichkeit gegangen. Laut der Bande Yanluowang handelt es sich bei der Beute um ein rund 2,75 GB grosses Datenpaket. Ein von den Cyberkriminellen veröffentlichtes Textfile verweist auf Directory-Einträge, die rund 3100 einzelne Dateien umfassen sollen.
Cisco betont, man habe "keine Auswirkungen auf unser Geschäft als Folge dieses Vorfalls festgestellt, einschliesslich Cisco-Produkten oder -Diensten, sensiblen Kundendaten oder sensiblen Mitarbeiterinformationen, geistigem Eigentum oder Lieferkettenvorgängen". Das Yanluowang-Textfile deutet daraufhin, dass es sich bei den erbeuteten Dateien vor allem um Geheimhaltungsvereinbarungen und "Schematic Models" handelt.

So lief der Angriff ab

Das Threat Intelligence Team von Cisco Talos geht in einem eigenen Blogbeitrag detailliert auf den Ablauf des Angriffs ein: "Während der Untersuchung wurde festgestellt, dass die Anmeldeinformationen eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Anmeldeinformationen synchronisiert wurden." Die Cyberkriminellen hätten eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durchgeführt, "die versuchten, das Opfer davon zu überzeugen, vom Angreifer initiierte Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren". So hätten diese einen Zugriff auf das VPN erlangt.
Nach Erhalt des ersten Zugriffs habe der Bedrohungsakteur eine Vielzahl von Aktivitäten durchgeführt, um den Zugriff aufrechtzuerhalten und auf Systeme innerhalb der Umgebung zu erhöhen. Er sei dann erfolgreich entfernt worden, habe sich aber beharrlich gezeigt und weitere Angriffsversuche gestartet. "Diese Versuche waren jedoch erfolglos", so Cisco Talos. Nach Bekanntwerden des Vorfalls sei sofort ein unternehmensweites Passwort-Reset implementiert worden.

"Bei Kunden und Partnern keine Massnahmen erforderlich"

Man habe beim Eindringen keine Ransomware-Bereitstellung beobachtet, heisst es weiter. "Die verwendeten TTPs stimmten aber mit der 'Prä-Ransomware-Aktivität' überein, einer Aktivität, die häufig vor der Bereitstellung von Ransomware in Opferumgebungen beobachtet wurde." Cisco Talos gehe davon aus, "dass dieser Angriff von einem Angreifer durchgeführt wurde, der zuvor als Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Cybercrime-Gang, der Lapsus$-Gruppe und den Yanluowang-Ransomware-Betreibern identifiziert wurde".
Für Produkte oder Services seien von Seiten Kunden und Partnern keine Massnahmen erforderlich. Cisco habe "seine Sicherheitsprodukte mit Informationen aktualisiert, die aus der Beobachtung der Techniken der Angreifer gewonnen wurden, Indikatoren für Kompromittierungen (IOCs) mit anderen Parteien geteilt und sich an Strafverfolgungsbehörden und andere Partner gewandt".

Loading

Mehr zum Thema

image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023
image

Globale Ransomware-Angriffswelle zielt auf VMware-Systeme

Tausende Server mit der Virtualisierungslösung ESXi sollen betroffen sein. Die ausgenutzte Schwachstelle ist seit langem bekannt.

publiziert am 6.2.2023