A empresa Cisco Systems divulgou informações sobre uma invasão ocorrida em maio, realizada pelo grupo de ransomware Yanluowang, que explorou a conta do Google de um colaborador vulnerável.
O gigante da internet descreve o ataque como um “compromisso em potencial” em uma publicação feita na quarta-feira pelo departamento de pesquisa de ameaças Cisco Talos, da própria empresa.
Durante a investigação, foi descoberto que as credenciais de um empregado da Cisco foram comprometidas quando um invasor assumiu o controle de uma conta pessoal do Google, onde as credenciais armazenadas no navegador da vítima estavam sendo sincronizadas, conforme relatado por Cisco Talos em uma análise detalhada do ataque.
Os pesquisadores da Cisco Talos conseguiram identificar o grupo de ameaça Yanluowang como responsável pelo ataque, sendo este grupo associado ao UNC2447 e ao conhecido grupo cibernético Lapsus$.
Em resumo, de acordo com a Cisco Talos, os invasores não conseguiram instalar ransomware, mas conseguiram acessar a rede e implantar ferramentas de hacking, realizando reconhecimento interno, o que frequentemente leva à instalação de ransomware em sistemas de vítimas.
Derrotando a autenticação multifator para acessar VPN.
O ponto crucial do ataque foi a habilidade dos invasores de comprometer o sistema de VPN da Cisco do funcionário alvo e entrar na rede corporativa através desse software VPN.
De acordo com a Cisco Talos, a VPN da Cisco foi acessada inicialmente através da invasão bem-sucedida da conta pessoal do Google de um funcionário da empresa. O usuário tinha ativado a sincronização de senha pelo Google Chrome e guardado suas credenciais da Cisco no navegador, o que possibilitou que essas informações fossem sincronizadas para sua conta do Google.
O texto menciona que os atacantes, após obterem credenciais, utilizaram diversas estratégias para driblar a autenticação multifator associada à VPN do cliente. Isso incluiu técnicas como phishing por voz e um tipo de ataque conhecido como fadiga MFA. A descrição da técnica de fadiga MFA pelo Cisco Talos é a seguinte: consiste em enviar um grande número de solicitações de push para o dispositivo móvel da vítima até que o usuário as aceite, seja por acidente ou para tentar silenciar as notificações repetidas.
Os pesquisadores relataram que os ataques de spoofing da MFA contra um funcionário da Cisco foram bem-sucedidos, o que permitiu que os invasores utilizassem o software VPN em nome do funcionário alvo. Após obterem acesso inicial, os atacantes registraram novos dispositivos para a MFA e conseguiram autenticar com sucesso na Cisco VPN.
“O agressor posteriormente ampliou seus privilégios para administrativos, possibilitando sua inscrição em múltiplos sistemas, acionando assim nossa equipe de resposta a incidentes de segurança da Cisco (CSIRT), que então tomou medidas em resposta ao incidente”, declarou.
As ferramentas utilizadas pelos invasores incluíram LogMeIn e TeamViewer, bem como ferramentas de segurança ofensiva como Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Embora a MFA seja vista como uma medida de segurança importante para as empresas, não é completamente imune a ataques. Recentemente, especialistas da Microsoft identificaram uma extensa campanha de phishing que consegue obter credenciais mesmo quando os usuários têm MFA ativada, afetando mais de 10.000 organizações.
A Cisco enfatiza sua capacidade de resposta a incidentes.
Em reação ao ataque, a Cisco agiu rapidamente ao realizar uma alteração de senhas em toda a organização, conforme informado no relatório Cisco Talos.
“Nossas descobertas e medidas de segurança implementadas como resultado da interação com os clientes nos permitiram reduzir e controlar o avanço do invasor”, foi o que afirmaram.
A companhia desenvolveu duas assinaturas de Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) como medida de segurança para eliminar possíveis ativos adicionais comprometidos. O Clam AntiVirus Signatures, também conhecido como ClamAV, é um conjunto de ferramentas antimalware que pode identificar diversos tipos de malware e vírus em diferentes plataformas.
“De acordo com Cisco Talos, três agentes costumam utilizar métodos de engenharia social para atingir alvos, e apesar da frequência desses ataques, as organizações ainda encontram dificuldades em reduzir essas ameaças. É essencial educar os usuários para combater esses ataques, incluindo assegurar que os funcionários saibam como a equipe de suporte legítima entrará em contato com eles, para que possam identificar tentativas fraudulentas de obter informações confidenciais.”
Divulgue este artigo.
- Violación
- Texto: Cortar de forma a dividir algo em partes menores.
