El importante equipo de redes Cisco confirm\u00f3 el mi\u00e9rcoles que fue v\u00edctima de un ciberataque el 24 de mayo de 2022 despu\u00e9s de que los atacantes se apoderaron de la cuenta personal de Google de un empleado que conten\u00eda contrase\u00f1as sincronizadas desde su navegador web.<\/p>\n
“El acceso inicial a Cisco VPN se logr\u00f3 mediante el compromiso exitoso de la cuenta personal de Google de un empleado de Cisco”, Cisco Talos dijo<\/a> en un escrito detallado. “El usuario hab\u00eda habilitado la sincronizaci\u00f3n de contrase\u00f1as a trav\u00e9s de Google Chrome y hab\u00eda almacenado sus credenciales de Cisco en su navegador, lo que permiti\u00f3 que esa informaci\u00f3n se sincronizara con su cuenta de Google”.<\/p>\n La divulgaci\u00f3n se produce como actores ciberdelincuentes asociados con la pandilla de ransomware Yanluowang. public\u00f3 una lista de archivos<\/a> desde la brecha hasta su sitio de fuga de datos el 10 de agosto.<\/p>\n La informaci\u00f3n extra\u00edda, seg\u00fan Talos, inclu\u00eda el contenido de una carpeta de almacenamiento en la nube de Box que estaba asociada con la cuenta del empleado comprometido y no se cree que haya incluido ning\u00fan dato valioso.<\/p>\n Adem\u00e1s del robo de credenciales, tambi\u00e9n hubo un elemento adicional de phishing en el que el adversario recurri\u00f3 a m\u00e9todos como vishing (tambi\u00e9n conocido como phishing de voz) y fatiga de autenticaci\u00f3n multifactor (MFA) para enga\u00f1ar a la v\u00edctima para que proporcione acceso al cliente VPN.<\/p>\n La fatiga de MFA o el bombardeo r\u00e1pido es el nombre que se le da a una t\u00e9cnica utilizada por los actores de amenazas para inundar la aplicaci\u00f3n de autenticaci\u00f3n de un usuario con notificaciones autom\u00e1ticas con la esperanza de que cedan y, por lo tanto, permitan que un atacante obtenga acceso no autorizado a una cuenta.<\/p>\n “El atacante finalmente logr\u00f3 una aceptaci\u00f3n de MFA push, otorg\u00e1ndole acceso a VPN en el contexto del usuario objetivo”, se\u00f1al\u00f3 Talos.<\/p>\n Al establecer un punto de apoyo inicial en el entorno, el atacante se movi\u00f3 para inscribir una serie de nuevos dispositivos para MFA y escal\u00f3 a privilegios administrativos, otorg\u00e1ndoles amplios permisos para iniciar sesi\u00f3n en varios sistemas, una acci\u00f3n que tambi\u00e9n llam\u00f3 la atenci\u00f3n de los equipos de seguridad de Cisco.<\/p>\n El actor de amenazas, que atribuy\u00f3 a un agente de acceso inicial (IAB) con v\u00ednculos con la pandilla de delitos cibern\u00e9ticos UNC2447, el grupo de actores de amenazas LAPSUS$ y los operadores de ransomware Yanluowang, tambi\u00e9n tom\u00f3 medidas para agregar sus propias cuentas de puerta trasera y mecanismos de persistencia.<\/p>\n UNC2447, un actor “agresivo” de Russia-nexus motivado financieramente, fue descubierto en abril de 2021 explotando una falla de d\u00eda cero en SonicWall VPN para lanzar el ransomware FIVEHANDS.<\/p>\n Yanluowang, llamado as\u00ed por un deidad china<\/a>es una variante de ransomware que se ha utilizado contra corporaciones en los EE. UU., Brasil y Turqu\u00eda desde agosto de 2021<\/a>. A principios de abril, una falla en su algoritmo de encriptaci\u00f3n permiti\u00f3 a Kaspersky descifrar el malware<\/a> y ofrecer un descifrador gratuito para ayudar a las v\u00edctimas.<\/p>\n Adem\u00e1s, se dice que el actor implement\u00f3 una variedad de herramientas, incluidas utilidades de acceso remoto como LogMeIn y TeamViewer, herramientas de seguridad ofensivas como Cobalt Strike, PowerSploit, Mimikatz e Impacket destinadas a aumentar su nivel de acceso a los sistemas dentro de la red.<\/p>\n “Despu\u00e9s de establecer el acceso a la VPN, el atacante comenz\u00f3 a usar la cuenta de usuario comprometida para iniciar sesi\u00f3n en una gran cantidad de sistemas antes de comenzar a adentrarse m\u00e1s en el entorno”, explic\u00f3. “Se trasladaron al entorno Citrix, comprometiendo una serie de servidores Citrix y finalmente obtuvieron acceso privilegiado a los controladores de dominio”.<\/p>\n Posteriormente, tambi\u00e9n se observ\u00f3 a los actores de amenazas moviendo archivos entre sistemas dentro del entorno utilizando el Protocolo de escritorio remoto (RDP) y Citrix modificando las configuraciones de firewall basadas en host, sin mencionar la preparaci\u00f3n del conjunto de herramientas en ubicaciones de directorio bajo el perfil de usuario p\u00fablico en hosts comprometidos.<\/p>\n Dicho esto, no se implement\u00f3 ning\u00fan ransomware. “Si bien no observamos la implementaci\u00f3n de ransomware en este ataque, los TTP utilizados fueron consistentes con la ‘actividad previa al ransomware’, actividad com\u00fanmente observada que conduce a la implementaci\u00f3n de ransomware en los entornos de las v\u00edctimas”, dijo la compa\u00f1\u00eda.<\/p>\n Cisco se\u00f1al\u00f3 adem\u00e1s que los atacantes, despu\u00e9s de ser expulsados, intentaron establecer comunicaciones por correo electr\u00f3nico con los ejecutivos de la empresa al menos tres veces, inst\u00e1ndolos a pagar y que “nadie se enterar\u00e1 del incidente y la fuga de informaci\u00f3n”. El correo electr\u00f3nico tambi\u00e9n inclu\u00eda una captura de pantalla de la lista de directorios de la carpeta Box exfiltrada.<\/p>\n Adem\u00e1s de iniciar un restablecimiento de contrase\u00f1a en toda la empresa, la empresa con sede en San Jos\u00e9 estresado<\/a> el incidente no tuvo impacto en sus operaciones comerciales ni result\u00f3 en el acceso no autorizado a datos confidenciales de clientes, informaci\u00f3n de empleados y propiedad intelectual, y agreg\u00f3 que “intent\u00f3 bloquear con \u00e9xito” el acceso a su red desde entonces.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n