Cisco ยืนยันเมื่อวันที่ 10 สิงหาคม 2565 ว่าถูกกลุ่มแรนซัมแวร์ Yanluowang โจมตีเครือข่ายขององค์กรเมื่อปลายเดือนพฤษภาคม และผู้โจมตีมีการข่มขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยออกไปจากโฟลเดอร์ Box ที่เชื่อมต่อกับบัญชีของพนักงานที่ถูกโจมตี และในวันเดียวกันนี้ ผู้โจมตีได้เผยแพร่ตัวอย่างรายการไฟล์ที่ได้ขโมยออกมาจาก Cisco บน Dark Web
ข้อมูลประจำตัวของพนักงานที่ถูกขโมย และถูกใช้ในการโจมตีเครือข่ายของ Cisco
กลุ่ม Yanluowang เข้าถึงเครือข่ายของ Cisco โดยการใช้ข้อมูลประจำตัวที่ถูกขโมยมาจากพนักงาน หลังจากสามารถเข้าถึงบัญชี Google ส่วนตัวของพนักงาน และมีข้อมูลข้อมูลประจำตัวบางอย่างถูกเก็บไว้บนเบราว์เซอร์
จากนั้นผู้โจมตีพยายามใช้วิธี voice phishing โดยการแอบอ้างเป็นองค์กรที่น่าเชื่อถือ เพื่อให้พนักงานของ Cisco กดลิงค์ยืนยัน MFA ทำให้ผู้โจมตีจึงสามารถเข้าถึงบัญชี VPN ของพนักงานคนดังกล่าวได้
เมื่อเข้าถึงเครือข่ายของ Cisco ได้แล้ว กลุ่ม Yanluowang จึงเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Citrix และ domain controllers เพื่อให้ได้รับสิทธิ์ในการเข้าควบคุมระบบ
หลังจากได้รับสิทธิ์ผู้ดูแลระบบบนโดเมนแล้ว ผู้โจมตีมีการใช้เครื่องมือต่างๆ เช่น ntdsutil, adfind และ secretsdump เพื่อเก็บรวบรวมข้อมูลเพิ่มเติม และพยายามติดตั้งเพย์โหลดของมัลแวร์ไปยังระบบที่ถูกโจมตี รวมถึงแบ็คดอร์ด้วย
สุดท้าย Cisco สามารถตรวจพบ และจัดการผู้โจมตีออกจากระบบได้ แต่ยังมีการพยายามในการกลับมาโจมตีอีกครั้งในสัปดาห์ถัดไป แต่ยังไม่สำเร็จ
แฮ็กเกอร์อ้างว่ามีการขโมยข้อมูลของ Cisco ออกไป
ในวันนี้ผู้โจมตีได้ประกาศการโจมตีของ Cisco ใน Dark Web ผู้โจมตีอ้างว่าได้ขโมยข้อมูล 2.75GB ซึ่งประกอบด้วยไฟล์ประมาณ 3,100 ไฟล์ ส่วนมากเป็นไฟล์ข้อตกลงไม่เปิดเผยข้อมูล, การถ่ายโอนข้อมูล และแบบวิศวกรรม
ไม่มีการพบแรนซัมแวร์บนระบบของ Cisco
Cisco ระบว่า กลุ่ม Yanluowang มีชื่อเสียงในเรื่องการเข้ารหัสไฟล์ของเหยื่อ แต่ไม่พบหลักฐานว่ามีแรนซัมแวร์เกิดขึ้นในการโจมตี โดย Cisco คาดว่าการโจมตีครั้งนี้อาจเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์อื่นๆ นอกจาก Yanluowang ด้วย เช่น UNC2447 และ Lapsus$
ที่มา: bleepingcomputer
You must be logged in to post a comment.