Gang De Rançongiciels Yanluowang

Le géant de l’équipement réseau Cisco a confirmé mercredi avoir été victime d’une cyberattaque le 24 mai 2022 après que les attaquants ont mis la main sur le compte Google personnel d’un employé qui contenait des mots de passe synchronisés à partir de son navigateur Web.

« L’accès initial au VPN Cisco a été obtenu grâce à la compromission réussie du compte Google personnel d’un employé de Cisco », a déclaré Cisco Talos. a dit dans un écrit détaillé. « L’utilisateur avait activé la synchronisation du mot de passe via Google Chrome et avait stocké ses informations d’identification Cisco dans son navigateur, permettant à ces informations de se synchroniser avec son compte Google. »

La divulgation intervient alors que des acteurs cybercriminels associés au gang de rançongiciels Yanluowang publié une liste de fichiers de la violation à leur site de fuite de données le 10 août.

Les informations exfiltrées, selon Talos, comprenaient le contenu d’un dossier de stockage en nuage Box qui était associé au compte de l’employé compromis et ne semble pas avoir inclus de données précieuses.

Outre le vol d’informations d’identification, il y avait également un élément supplémentaire de phishing dans lequel l’adversaire recourait à des méthodes telles que le vishing (alias phishing vocal) et la fatigue de l’authentification multifacteur (MFA) pour inciter la victime à donner accès au compte.

Publicité
La Cyber-Sécurité

La fatigue MFA ou bombardement rapide est le nom donné à une technique utilisée par les acteurs de la menace pour inonder l’application d’authentification d’un utilisateur de notifications push dans l’espoir qu’ils cèdent et permettent ainsi à un attaquant d’obtenir un accès non autorisé à un compte.

« L’attaquant a finalement réussi à obtenir une acceptation push MFA, lui accordant l’accès au VPN dans le contexte de l’utilisateur ciblé », a noté Talos.

Après avoir pris pied dans l’environnement, l’attaquant s’est déplacé pour inscrire une série de nouveaux appareils pour MFA et est passé aux privilèges administratifs, leur donnant de larges autorisations pour se connecter à plusieurs systèmes – une action qui a également attiré l’attention des équipes de sécurité de Cisco.

L’acteur menaçant, qu’il a attribué à un courtier d’accès initial (IAB) ayant des liens avec le gang de cybercriminels UNC2447, le groupe d’acteurs menaçants LAPSUS$ et les opérateurs de rançongiciels Yanluowang, a également pris des mesures pour ajouter ses propres comptes de porte dérobée et mécanismes de persistance.

UNC2447, un acteur « agressif » financièrement motivé par le lien avec la Russie, a été découvert en avril 2021 en exploitant une faille zero-day dans SonicWall VPN pour supprimer le rançongiciel FIVEHANDS.

Yanluowang, du nom d’un divinité chinoiseest une variante de ransomware qui a été utilisée contre des entreprises aux États-Unis, au Brésil et en Turquie depuis août 2021. Au début du mois d’avril, une faille dans son algorithme de chiffrement a permis à Kaspersky de pirater le malware et offrir un décrypteur gratuit pour aider les victimes.

En outre, l’acteur aurait déployé une variété d’outils, y compris des utilitaires d’accès à distance comme LogMeIn et TeamViewer, des outils de sécurité offensifs tels que Cobalt Strike, PowerSploit, Mimikatz et Impacket visant à augmenter leur niveau d’accès aux systèmes du réseau.

La Cyber-Sécurité

« Après avoir établi l’accès au VPN, l’attaquant a alors commencé à utiliser le compte utilisateur compromis pour se connecter à un grand nombre de systèmes avant de commencer à pivoter plus loin dans l’environnement », a-t-il expliqué. « Ils sont passés à l’environnement Citrix, compromettant une série de serveurs Citrix et ont finalement obtenu un accès privilégié aux contrôleurs de domaine. »

Les acteurs de la menace ont également été observés par la suite en train de déplacer des fichiers entre les systèmes de l’environnement à l’aide du protocole RDP (Remote Desktop Protocol) et de Citrix en modifiant les configurations de pare-feu basées sur l’hôte, sans parler de la mise en scène de l’ensemble d’outils dans des emplacements de répertoire sous le profil d’utilisateur public sur les hôtes compromis.

Cela dit, aucun rançongiciel n’a été déployé. « Bien que nous n’ayons pas observé de déploiement de ransomware dans cette attaque, les TTP utilisés étaient cohérents avec » l’activité pré-ransomware « , activité couramment observée menant au déploiement de ransomware dans les environnements victimes », a déclaré la société.

Cisco a en outre noté que les attaquants, après avoir été démarrés, ont tenté d’établir des communications par e-mail avec les dirigeants de l’entreprise au moins trois fois, les exhortant à payer et que « personne ne sera au courant de l’incident et de la fuite d’informations ». L’e-mail comprenait également une capture d’écran de la liste des répertoires du dossier Box exfiltré.

En plus de lancer une réinitialisation de mot de passe à l’échelle de l’entreprise, la société basée à San Jose stressé l’incident n’a eu aucun impact sur ses opérations commerciales ou a entraîné un accès non autorisé aux données sensibles des clients, aux informations des employés et à la propriété intellectuelle, ajoutant qu’il « a réussi à bloquer les tentatives » d’accès à son réseau depuis lors.

Rate this post
Publicité
Article précédentLa technologie de recherche d’IBM rend les applications d’intelligence artificielle de pointe évolutives
Article suivantCodes Vesteria – goodies gratuits dans le jeu
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici