A empresa Cisco Systems divulgou informações sobre uma invasão ocorrida em maio, realizada pelo grupo de ransomware Yanluowang, que explorou a conta do Google de um colaborador vulnerável.
O gigante da internet descreve o ataque como um “compromisso em potencial” em uma publicação feita na quarta-feira pelo departamento de pesquisa de ameaças Cisco Talos, da própria empresa.
Durante a investigação, foi descoberto que as credenciais de um empregado da Cisco foram comprometidas quando um invasor assumiu o controle de uma conta pessoal do Google, onde as credenciais armazenadas no navegador da vítima estavam sendo sincronizadas, conforme relatado por Cisco Talos em uma análise detalhada do ataque.
![Infosec Insiders Newsletter](https://inteh.biz/wp-content/uploads/2024/04/infosec_insiders_in_article_promo-6.png)
Os pesquisadores da Cisco Talos conseguiram identificar o grupo de ameaça Yanluowang como responsável pelo ataque, sendo este grupo associado ao UNC2447 e ao conhecido grupo cibernético Lapsus$.
Em resumo, de acordo com a Cisco Talos, os invasores não conseguiram instalar ransomware, mas conseguiram acessar a rede e implantar ferramentas de hacking, realizando reconhecimento interno, o que frequentemente leva à instalação de ransomware em sistemas de vítimas.
Derrotando a autenticação multifator para acessar VPN.
O ponto crucial do ataque foi a habilidade dos invasores de comprometer o sistema de VPN da Cisco do funcionário alvo e entrar na rede corporativa através desse software VPN.
De acordo com a Cisco Talos, a VPN da Cisco foi acessada inicialmente através da invasão bem-sucedida da conta pessoal do Google de um funcionário da empresa. O usuário tinha ativado a sincronização de senha pelo Google Chrome e guardado suas credenciais da Cisco no navegador, o que possibilitou que essas informações fossem sincronizadas para sua conta do Google.
O texto menciona que os atacantes, após obterem credenciais, utilizaram diversas estratégias para driblar a autenticação multifator associada à VPN do cliente. Isso incluiu técnicas como phishing por voz e um tipo de ataque conhecido como fadiga MFA. A descrição da técnica de fadiga MFA pelo Cisco Talos é a seguinte: consiste em enviar um grande número de solicitações de push para o dispositivo móvel da vítima até que o usuário as aceite, seja por acidente ou para tentar silenciar as notificações repetidas.
Os pesquisadores relataram que os ataques de spoofing da MFA contra um funcionário da Cisco foram bem-sucedidos, o que permitiu que os invasores utilizassem o software VPN em nome do funcionário alvo. Após obterem acesso inicial, os atacantes registraram novos dispositivos para a MFA e conseguiram autenticar com sucesso na Cisco VPN.
“O agressor posteriormente ampliou seus privilégios para administrativos, possibilitando sua inscrição em múltiplos sistemas, acionando assim nossa equipe de resposta a incidentes de segurança da Cisco (CSIRT), que então tomou medidas em resposta ao incidente”, declarou.
As ferramentas utilizadas pelos invasores incluíram LogMeIn e TeamViewer, bem como ferramentas de segurança ofensiva como Cobalt Strike, PowerSploit, Mimikatz e Impacket.
Embora a MFA seja vista como uma medida de segurança importante para as empresas, não é completamente imune a ataques. Recentemente, especialistas da Microsoft identificaram uma extensa campanha de phishing que consegue obter credenciais mesmo quando os usuários têm MFA ativada, afetando mais de 10.000 organizações.
A Cisco enfatiza sua capacidade de resposta a incidentes.
Em reação ao ataque, a Cisco agiu rapidamente ao realizar uma alteração de senhas em toda a organização, conforme informado no relatório Cisco Talos.
“Nossas descobertas e medidas de segurança implementadas como resultado da interação com os clientes nos permitiram reduzir e controlar o avanço do invasor”, foi o que afirmaram.
A companhia desenvolveu duas assinaturas de Clam AntiVirus (Win.Exploit.Kolobko-9950675-0 e Win.Backdoor.Kolobko-9950676-0) como medida de segurança para eliminar possíveis ativos adicionais comprometidos. O Clam AntiVirus Signatures, também conhecido como ClamAV, é um conjunto de ferramentas antimalware que pode identificar diversos tipos de malware e vírus em diferentes plataformas.
“De acordo com Cisco Talos, três agentes costumam utilizar métodos de engenharia social para atingir alvos, e apesar da frequência desses ataques, as organizações ainda encontram dificuldades em reduzir essas ameaças. É essencial educar os usuários para combater esses ataques, incluindo assegurar que os funcionários saibam como a equipe de suporte legítima entrará em contato com eles, para que possam identificar tentativas fraudulentas de obter informações confidenciais.”
Divulgue este artigo.
- Violación
- Texto: Cortar de forma a dividir algo em partes menores.
Deixe uma resposta