Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Credit : bleepingcomputer.com

Cisco เปิดเผยรายละเอียดถึงเหตุการณ์ครั้งนี้ว่า:
 – Cisco ระบุว่า ข้อมูลที่ถูกขโมยออกไปนั้น ไม่ได้มีความสำคัญมากนัก แต่ก็ไม่ได้บ่งบอกว่าเป็นไฟล์ประเภทใดบ้าง จะเกี่ยวข้องถึงข้อมูลผลิตภัณฑ์ ข้อมูลพนักงาน ทรัพย์สินทางปัญญา หรือด้านซัพพลายเชน หรือไม่
 – Cisco ระบุแค่แหล่งตำแหน่งของข้อมูลที่ถูกล้วงไปจาก Folder Box ที่เชื่อมโยงกับบัญชีของพนักงานในองค์กร
 – Yanluowang ผู้คุกคามใช้ข้อมูลประจำตัวของพนักงานที่ขโมยจากบัญชี Google ส่วนตัวที่ซิงค์จากเบราว์เซอร์ ในการเข้าถึงเครือข่ายของ Cisco
 – 10 สิงหาคม Cisco ถูกผู้คุกคามเผยแพร่รายการไฟล์บน Dark Web
 – ผู้คุกคามอ้างว่าได้ขโมยข้อมูลกว่า 2.75GB ซึ่งประกอบด้วยไฟล์ประมาณ 3,100 ไฟล์ ไฟล์เหล่านี้จำนวนมากที่ถูกนำมาเป็นข้อตกลงว่าจะไม่เปิดเผยข้อมูล การถ่ายโอนข้อมูล และแบบวิศวกรรม

Yanluowang ใช้กลยุทธหลอกล่อพนักงานของ Cisco จนตายใจ:
 –  ผู้คุกคามได้พยายามโน้มน้าวให้พนักงานของ Cisco ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)
 –  ในที่สุดเหยื่อก็หลงกลยอมรับการแจ้งเตือน MFA ทำให้ผู้คุกคามเข้าถึง VPN ในบริบทของผู้ใช้ที่เป็นเป้าหมายได้สำเร็จ
 –  หลังจากผู้คุกคามเข้าถึงภายในเครือข่ายขององค์กรได้แล้ว จะกระจายตัวไปยัง Citrix servers และ domain controllers เพื่อให้ได้สิทธิ์เป็น admin ควบคุมระบบโดยใช้ Enumeration Tool เครื่องมือในการค้นหาและเก็บข้อมูลรายละเอียด
 –  Cisco ได้ตรวจพบและได้กำจัดผู้คุกคามออกจากระบบเครือข่าย แต่แก๊ง Yanluowang ก็ยังพยายามยกระดับการเข้าถึงระบบอีกหลายครั้งแต่ก็ไม่สามารถปฏิบัติการซ้ำรอยเดิมได้อีก

Yanluowang ขู่ว่ามีข้อมูลที่ได้จากโจรกรรมกว่า 3,100 ไฟล์:
 –  ผู้คุกคามได้ส่งเอกสารอีเมลและ NDA ที่ถูกขโมยมาจากการโจมตีไปยัง BleepingComputer เพื่อเป็นการตอกย้ำด้วยหลักฐานในการโจมตีและ “คำใบ้” ว่าพวกเขาละเมิดเครือข่ายของ Cisco และไฟล์ที่ถูกดึงออกมา
 –  ล่าสุด ผู้กรรโชกทรัพย์ได้ประกาศก้าวถึงวีรกรรมการละเมิดเครือข่ายของ Cisco ผ่านเว็บไซต์ และเผยแพร่รายการไดเรกทอรีเดียวกันที่ส่งไปยัง BleepingComputer ก่อนหน้านี้

Cisco ออกมาสวนกลับต่อคำประกาศก้าวของแก๊ง Yanluowang ว่า ไม่พบหลักฐานว่ามีการ Payloads จาก Ransomware ในระหว่างที่ถูกโจมตี ซึ่งทางทีม Cisco ได้ประเมินสถานการณ์ด้วยการยกระดับปานกลางถึงขั้นสูงสุดสำหรับความเข้มข้นในการตรวจสอบจนพบว่าเป็น initial access broker (IAB) ที่มีความเกี่ยวข้องกับกลุ่มอาชญากรไซเบอร์ UNC2447 กลุ่มผู้คุกคาม Lapsus$ และ Yanluowang

นอกจากนี้แก๊ง Yanluowang ยังแอบอ้างอีกว่า เพิ่งละเมิดระบบเครือข่ายของ Walmart แต่อย่างไรก็ตามฝั่งผู้ค้าปลีกชาวอเมริกันได้ปฏิเสธเกี่ยวกับการโจมตีที่แอบอ้างนี้ โดยบอกกับ BleepingComputer ว่าไม่พบหลักฐานการโจมตี ransomware แต่อย่างใด

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-hacked-by-yanluowang-ransomware-gang-28gb-allegedly-stolen/?fbclid=IwAR0DRfG_q7LYoYgON-L9_1T6BN_h3OpXhDKrGr3MnIpWJcEdBR8k_NbZSog

ที่มา :techtalkthai    /   วันที่เผยแพร่ 11 ส.ค.65
Link : https://www.techtalkthai.com/cisco-hacked-by-yanluowang-ransomware-gang/