Cisco-netwerk gehackt door ransomwarebende met Lapsus$-link

De inbraak op het bedrijfsnetwerk is op 24 mei ontdekt en Cisco zegt toen meteen actie te hebben ondernomen om de kwaadwillenden te isoleren en te verdrijven uit het corporate netwerk. Daarbij is volgens de getroffen ICT-leverancier geen ransomware waargenomen en ook niet ingezet door de aanvallers. Cisco's securitytak Talos schrijft in zijn analyse dat het om een zogeheten 'initial access broker' (IAB) gaat, die banden heeft met de cybercrimebende UNC2447, met de Lapsus$ threat actor group, en met de Yanluowang-groep van ransomware operators.

Gigabytes aan data gestolen

Laatstgenoemde heeft deze aanval inmiddels opgeëist, door op zijn leaksite data te publiceren die het heeft buitgemaakt bij Cisco. Daarbij geeft hij de melding 'time's up' wat suggereert dat er nog een afpersing liep met als dreigement het openbaren van gestolen gegevens. De lijst van mappen en bestanden komt volgens Bleeping Computer neer op 2,75 GB aan data, bestaande uit 3.700 bestanden.

Cisco meldt nu dat er bij deze security breach géén sprake is van gevoelige gegevens; noch van klanten, noch van werknemers. Ook intellectueel eigendom van het bedrijf is niet buitgemaakt, net zoals informatie over de toeleveringsketen van Cisco. De blogpost van Talos geeft meer details: de data die wél gestolen zijn, betreffen de inhoud van een map die is gesynchroniseerd met cloudopslagdienst Box. Die was gekoppeld aan het gebruikersaccount van een Cisco-medewerker die de aanvallers hebben weten te compromitteren. Daarbij is ook de authenticatie voor die werknemer via Active Directory gecompromitteerd.

Wachtwoordbeleid

Talos heeft samen met het Cisco Security Incident Response Team (CSIRT) de afweer tegen de cybercriminelen uitgevoerd. In de weken nadat de inbrekers zijn verwijderd uit het interne netwerk heeft Talos continue pogingen gezien om opnieuw toegang te krijgen tot het bedrijfsnetwerk van Cisco. In de meeste gevallen ging het daarbij om aanvallen op wachtwoorden die mogelijk zwak waren na een verplicht doorgevoerde reset van werknemerswachtwoorden. De aanvallers waren uit op gebruikers die dan bijvoorbeeld een enkel karakter in hun oude wachtwoord zouden hebben aangepast.