{"id":308359,"date":"2022-08-11T19:11:28","date_gmt":"2022-08-11T21:11:28","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cisco-confirme-quil-a-ete-pirate-par-yanluowang-ransomware-gang\/"},"modified":"2022-08-11T19:11:30","modified_gmt":"2022-08-11T21:11:30","slug":"cisco-confirme-quil-a-ete-pirate-par-yanluowang-ransomware-gang","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cisco-confirme-quil-a-ete-pirate-par-yanluowang-ransomware-gang\/","title":{"rendered":"Cisco confirme qu&#8217;il a \u00e9t\u00e9 pirat\u00e9 par Yanluowang Ransomware Gang"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le g\u00e9ant de l&#8217;\u00e9quipement r\u00e9seau Cisco a confirm\u00e9 mercredi avoir \u00e9t\u00e9 victime d&#8217;une cyberattaque le 24 mai 2022 apr\u00e8s que les attaquants ont mis la main sur le compte Google personnel d&#8217;un employ\u00e9 qui contenait des mots de passe synchronis\u00e9s \u00e0 partir de son navigateur Web.<\/p>\n<p>&#8220;L&#8217;acc\u00e8s initial au VPN Cisco a \u00e9t\u00e9 obtenu gr\u00e2ce \u00e0 la compromission r\u00e9ussie du compte Google personnel d&#8217;un employ\u00e9 de Cisco&#8221;, a d\u00e9clar\u00e9 Cisco Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2022\/08\/recent-cyber-attack.html\" target=\"_blank\">a dit<\/a> dans un \u00e9crit d\u00e9taill\u00e9.  &#8220;L&#8217;utilisateur avait activ\u00e9 la synchronisation du mot de passe via Google Chrome et avait stock\u00e9 ses informations d&#8217;identification Cisco dans son navigateur, permettant \u00e0 ces informations de se synchroniser avec son compte Google.&#8221;<\/p>\n<p>La divulgation intervient alors que des acteurs cybercriminels associ\u00e9s au gang de ran\u00e7ongiciels Yanluowang <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/Cyberknow20\/status\/1557419082210676736\" target=\"_blank\">publi\u00e9 une liste de fichiers<\/a> de la violation \u00e0 leur site de fuite de donn\u00e9es le 10 ao\u00fbt.<\/p>\n<p>Les informations exfiltr\u00e9es, selon Talos, comprenaient le contenu d&#8217;un dossier de stockage en nuage Box qui \u00e9tait associ\u00e9 au compte de l&#8217;employ\u00e9 compromis et ne semble pas avoir inclus de donn\u00e9es pr\u00e9cieuses.<\/p>\n<p>Outre le vol d&#8217;informations d&#8217;identification, il y avait \u00e9galement un \u00e9l\u00e9ment suppl\u00e9mentaire de phishing dans lequel l&#8217;adversaire recourait \u00e0 des m\u00e9thodes telles que le vishing (alias phishing vocal) et la fatigue de l&#8217;authentification multifacteur (MFA) pour inciter la victime \u00e0 fournir un acc\u00e8s au client VPN.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La fatigue MFA ou bombardement rapide est le nom donn\u00e9 \u00e0 une technique utilis\u00e9e par les acteurs de la menace pour inonder l&#8217;application d&#8217;authentification d&#8217;un utilisateur de notifications push dans l&#8217;espoir qu&#8217;ils c\u00e8dent et permettent ainsi \u00e0 un attaquant d&#8217;obtenir un acc\u00e8s non autoris\u00e9 \u00e0 un compte.<\/p>\n<p>&#8220;L&#8217;attaquant a finalement r\u00e9ussi \u00e0 obtenir une acceptation push MFA, lui accordant l&#8217;acc\u00e8s au VPN dans le contexte de l&#8217;utilisateur cibl\u00e9&#8221;, a not\u00e9 Talos.<\/p>\n<p>Apr\u00e8s avoir pris pied dans l&#8217;environnement, l&#8217;attaquant s&#8217;est d\u00e9plac\u00e9 pour inscrire une s\u00e9rie de nouveaux appareils pour MFA et est pass\u00e9 aux privil\u00e8ges administratifs, leur donnant de larges autorisations pour se connecter \u00e0 plusieurs syst\u00e8mes &#8211; une action qui a \u00e9galement attir\u00e9 l&#8217;attention des \u00e9quipes de s\u00e9curit\u00e9 de Cisco.<\/p>\n<p>L&#8217;acteur mena\u00e7ant, qu&#8217;il a attribu\u00e9 \u00e0 un courtier d&#8217;acc\u00e8s initial (IAB) ayant des liens avec le gang de cybercriminels UNC2447, le groupe d&#8217;acteurs mena\u00e7ants LAPSUS$ et les op\u00e9rateurs de ran\u00e7ongiciels Yanluowang, a \u00e9galement pris des mesures pour ajouter ses propres comptes de porte d\u00e9rob\u00e9e et m\u00e9canismes de persistance.<\/p>\n<p>UNC2447, un acteur \u00ab\u00a0agressif\u00a0\u00bb financi\u00e8rement motiv\u00e9 par le lien avec la Russie, a \u00e9t\u00e9 d\u00e9couvert en avril 2021 en exploitant une faille zero-day dans SonicWall VPN pour supprimer le ran\u00e7ongiciel FIVEHANDS.<\/p>\n<p>Yanluowang, du nom d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Yama_(Buddhism)\" target=\"_blank\">divinit\u00e9 chinoise<\/a>est une variante de ransomware qui a \u00e9t\u00e9 utilis\u00e9e contre des entreprises aux \u00c9tats-Unis, au Br\u00e9sil et en Turquie <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/yanluowang-ransomware-attacks-continue\" target=\"_blank\">depuis ao\u00fbt 2021<\/a>.  Au d\u00e9but du mois d&#8217;avril, une faille dans son algorithme de chiffrement a permis \u00e0 Kaspersky de <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/how-to-recover-files-encrypted-by-yanluowang\/106332\/\" target=\"_blank\">pirater le malware<\/a> et offrir un d\u00e9crypteur gratuit pour aider les victimes.<\/p>\n<p>En outre, l&#8217;acteur aurait d\u00e9ploy\u00e9 une vari\u00e9t\u00e9 d&#8217;outils, y compris des utilitaires d&#8217;acc\u00e8s \u00e0 distance comme LogMeIn et TeamViewer, des outils de s\u00e9curit\u00e9 offensifs tels que Cobalt Strike, PowerSploit, Mimikatz et Impacket visant \u00e0 augmenter leur niveau d&#8217;acc\u00e8s aux syst\u00e8mes du r\u00e9seau.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Apr\u00e8s avoir \u00e9tabli l&#8217;acc\u00e8s au VPN, l&#8217;attaquant a alors commenc\u00e9 \u00e0 utiliser le compte utilisateur compromis pour se connecter \u00e0 un grand nombre de syst\u00e8mes avant de commencer \u00e0 pivoter plus loin dans l&#8217;environnement&#8221;, a-t-il expliqu\u00e9.  &#8220;Ils sont pass\u00e9s \u00e0 l&#8217;environnement Citrix, compromettant une s\u00e9rie de serveurs Citrix et ont finalement obtenu un acc\u00e8s privil\u00e9gi\u00e9 aux contr\u00f4leurs de domaine.&#8221;<\/p>\n<p>Les acteurs de la menace ont \u00e9galement \u00e9t\u00e9 observ\u00e9s par la suite en train de d\u00e9placer des fichiers entre les syst\u00e8mes de l&#8217;environnement \u00e0 l&#8217;aide du protocole RDP (Remote Desktop Protocol) et de Citrix en modifiant les configurations de pare-feu bas\u00e9es sur l&#8217;h\u00f4te, sans parler de la mise en sc\u00e8ne de l&#8217;ensemble d&#8217;outils dans des emplacements de r\u00e9pertoire sous le profil d&#8217;utilisateur public sur les h\u00f4tes compromis.<\/p>\n<p>Cela dit, aucun ran\u00e7ongiciel n&#8217;a \u00e9t\u00e9 d\u00e9ploy\u00e9.  &#8220;Bien que nous n&#8217;ayons pas observ\u00e9 de d\u00e9ploiement de ransomware dans cette attaque, les TTP utilis\u00e9s \u00e9taient coh\u00e9rents avec&#8221; l&#8217;activit\u00e9 pr\u00e9-ransomware &#8220;, activit\u00e9 couramment observ\u00e9e menant au d\u00e9ploiement de ransomware dans les environnements victimes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Cisco a en outre not\u00e9 que les attaquants, apr\u00e8s avoir \u00e9t\u00e9 d\u00e9marr\u00e9s, ont tent\u00e9 d&#8217;\u00e9tablir des communications par e-mail avec les dirigeants de l&#8217;entreprise au moins trois fois, les exhortant \u00e0 payer et que &#8220;personne ne sera au courant de l&#8217;incident et de la fuite d&#8217;informations&#8221;.  L&#8217;e-mail comprenait \u00e9galement une capture d&#8217;\u00e9cran de la liste des r\u00e9pertoires du dossier Box exfiltr\u00e9.<\/p>\n<p>En plus de lancer une r\u00e9initialisation de mot de passe \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise, la soci\u00e9t\u00e9 bas\u00e9e \u00e0 San Jose <a rel=\"nofollow noopener\" href=\"https:\/\/tools.cisco.com\/security\/center\/resources\/corp_network_security_incident\" target=\"_blank\">stress\u00e9<\/a> l&#8217;incident n&#8217;a eu aucun impact sur ses op\u00e9rations commerciales ou a entra\u00een\u00e9 un acc\u00e8s non autoris\u00e9 aux donn\u00e9es sensibles des clients, aux informations des employ\u00e9s et \u00e0 la propri\u00e9t\u00e9 intellectuelle, ajoutant qu&#8217;il &#8220;a r\u00e9ussi \u00e0 bloquer les tentatives&#8221; d&#8217;acc\u00e8s \u00e0 son r\u00e9seau depuis lors.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/cisco-confirms-its-been-hacked-by.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le g\u00e9ant de l&#8217;\u00e9quipement r\u00e9seau Cisco a confirm\u00e9 mercredi avoir \u00e9t\u00e9 victime d&#8217;une cyberattaque le 24 mai 2022 apr\u00e8s que les attaquants ont mis la main sur le compte Google personnel d&#8217;un employ\u00e9 qui contenait des mots de passe synchronis\u00e9s \u00e0 partir de son navigateur Web. &#8220;L&#8217;acc\u00e8s initial au VPN Cisco a \u00e9t\u00e9 obtenu gr\u00e2ce [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":308360,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5859,4168,845,4158,4165,4161,162,4584,4157,4159,4171,4170,4167,98340,4163,4162,164,6644,495,4392,4172,4169,4166,4164,99042],"class_list":["post-308359","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cisco","tag-comment-pirater","tag-confirme","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-ete","tag-gang","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-pirate","tag-quil","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-yanluowang"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/308359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=308359"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/308359\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/308360"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=308359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=308359"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=308359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}