Cyberattaque : Cisco confirme avoir été piraté par le gang de ransomware Yanluowang
L'entreprise Cisco, mondialement connue pour ses équipements réseau, a confirmé avoir subie une cyberattaque le 24 mai 2022, après que les attaquants aient mis la main sur le compte Google personnel d'un employé qui contenait des mots de passe synchronisés via le navigateur web.
Cisco Talos a mis en ligne un rapport détaillé sur cette cyberattaque qui a touché Cisco. Dans ce rapport, on apprend que les attaquants ont pu obtenir un accès via Cisco VPN en récupérant le mot de passe enregistré dans le compte Google personnel du salarié qui s'est fait compromettre son compte : "L'utilisateur avait activé la synchronisation des mots de passe via Google Chrome et avait stocké ses informations d'identification Cisco dans son navigateur, permettant ainsi la synchronisation de ces informations avec son compte Google.".
Il est important de préciser quand même qu'il y a le MFA actif sur l'accès VPN. Du coup, les cybercriminels ont adopté la technique du "prompt bombing" pour inonder l'application d'authentification de l'utilisateur afin qu'il cède et valider la connexion pour avoir la paix. C'est ce qu'il a fait, permettant ainsi aux cybercriminels d'activer la connexion VPN, avec les droits de cet utilisateur.
Ensuite, l'attaquant a enregistré de nouveaux appareils pour le MFA, il a obtenu des privilèges d'administration, il a créé ses propres comptes pour avoir un accès persistant et avoir un accès sous la forme de porte dérobée. Les attaquants auraient mis en place différents outils tels que LogMeIn, TeamViewer, et des outils de sécurité offensifs comme Mimikatz, PowerSploit ou Cobalt Strike. Toujours d'après le rapport de Cisco Talos : "Ils se sont déplacés dans l'environnement Citrix, compromettant une série de serveurs Citrix et ont finalement obtenu un accès privilégié aux contrôleurs de domaine.
Une attaque attribuée au gang du ransomware Yanluowang
Le 10 août 2022, des cybercriminels associés au ransomware Yanluowang ont publié une liste de fichiers issus de cette cyberattaque sur leur site dédié à la mise en ligne des fuites de données. Le communiqué de Cisco fait suite à cette diffusion des données. Selon Cisco Talos, les informations exfiltrées correspondent au contenu d'un dossier du service Cloud "Box", associé au compte de l'employé compromis et ces données ne sont pas censées contenir d'informations importantes.
Les attaquants ont essayé d'établir une communication par e-mail avec les dirigeants de Cisco, au moins à trois reprises, dans le but de les inciter à payer et à faire en sorte que "personne ne soit au courant de l'incident et de la fuite d'informations.". Pour motiver les dirigeants, l'e-mail comprenait une capture d'écran de la liste des répertoires exfiltrés depuis Box. Néanmoins, il est à noter que le ransomware n'a pas été déclenché sur l'infrastructure Cisco, mais malgré tout, les actions menées par les cybercriminels laissent penser que cela allait arriver.
Par mesure de précaution, l'ensemble des employés ont eu pour consigne de procéder à la réinitialiser de leur mot de passe. Cisco précise que cet incident n'a pas eu d'impact sur ses activités commerciales et qu'il n'a pas entraîné d'accès non autorisé aux données sensibles des clients ni aux informations sur les employés.
Toujours une bonne idée de synchroniser ses mots de passe sur Google et de conserver tous ses cookies et historiques de navigation .
Une fonctionnalité à bannir 🙂