Cisco a révélé mercredi que des cybercriminels avaient accédé à son réseau d’entreprise en mai, après que le compte Google personnel d’un employé eut été compromis – un acte qu’un gang de ransomware nommé “Yanluowang” a maintenant revendiqué comme son œuvre.
Une déclaration de Cisco affirme que l’entreprise “n’a pas identifié d’impact sur les activités de [its] à la suite de cet incident, y compris sur les produits ou services de Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la chaîne d’approvisionnement”.
Cisco Security Incident Response et le groupe intelligent de cybersécurité de l’entreprise, Cisco Talos, ont précisé que la seule exfiltration de données réussie provenait d’un compte de l’entreprise de stockage en nuage Box, associé au compte d’un employé compromis.
L’attaquant a réussi à passer un certain temps à l’intérieur du système informatique de Cisco. Selon l’article de Talos, l’attaquant a obtenu l’accès aux réseaux de Cisco, a inscrit une série d’appareils pour le MFA et s’est authentifié avec succès au VPN de Cisco. L’attaquant “a ensuite obtenu des privilèges administratifs, ce qui lui a permis de se connecter à plusieurs systèmes”. Cette action a alerté l’équipe de réponse aux incidents de sécurité de Cisco, qui est intervenue avec des “capacités étendues de surveillance informatique et de remédiation” pour “mettre en œuvre des protections supplémentaires, bloquer toute tentative d’accès non autorisé et atténuer la menace pour la sécurité”. Des efforts ont également été déployés pour améliorer “l’hygiène des employés en matière de cybersécurité”.
Le pirate a ensuite utilisé des techniques d’hameçonnage vocal qui ont permis aux agents d’appeler en utilisant différents accents et en se faisant passer pour diverses organisations de confiance, cherchant à aider l’employé de Cisco, jusqu’à ce qu’il ou elle craque et accepte une fausse notification MFA qui a permis aux pirates d’accéder au réseau privé virtuel (VPN). Une fois à l’intérieur, ils s’étendent latéralement aux serveurs Citrix et finissent par obtenir un accès privilégié aux contrôleurs de domaine.
L’attaquant a ensuite tenté d’établir une communication par courrier électronique avec des cadres de Cisco, montrant des listes de répertoires de leur butin – 2,75 Go de données contenant environ 3 700 fichiers – et suggérant que Cisco pourrait payer pour éviter la divulgation.
