Cisco Systems Inc. zei dat het het slachtoffer was van een cyberaanval waarbij een hacker herhaaldelijk probeerde toegang te krijgen tot het bedrijfsnetwerk van het Silicon Valley-bedrijf.

Cisco zei dat het zich op 24 mei bewust werd van een mogelijk compromis en dit woensdag bekendmaakte nadat de hacker een lijst had gelekt met de bestanden die hij had gestolen op het dark web.

Een onderzoek wees uit dat de hacker in het netwerk van Cisco inbrak door in te breken in het persoonlijke Google-account van een werknemer, die hun opgeslagen wachtwoorden op internet synchroniseerde, zei het in San Jose, Californië gevestigde bedrijf in een blogpost die woensdag werd gepubliceerd. De aanvaller deed zich vervolgens voor als vertrouwde organisaties tijdens telefoongesprekken met de medewerker en haalde de medewerker met succes over om een ​​multifactor push-authenticatiemelding op hun apparaat te accepteren. Daardoor kreeg de hacker toegang tot het netwerk van Cisco met behulp van de inloggegevens van de medewerker.

Cisco had "geen enkel bewijs gevonden dat erop wijst dat de aanvaller toegang heeft gekregen tot kritieke interne systemen, zoals die met betrekking tot productontwikkeling, code-ondertekening, enz.", aldus de blog. "De enige succesvolle gegevensexfiltratie die tijdens de aanval plaatsvond, was de inhoud van een Box-map die was gekoppeld aan het account van een gecompromitteerde werknemer. De gegevens die in dit geval door de tegenstander werden verkregen, waren niet gevoelig."

Onderzoekers zeiden dat ze geloven dat de aanval werd uitgevoerd door een tegenstander die eerder werd geïdentificeerd als een initiële toegangsmakelaar voor verschillende beruchte cybercriminaliteitsgroepen:UNC2447, Lapsus$ en Yanluowang ransomware-operators. Initiële toegangsmakelaars proberen bevoorrechte toegang te krijgen tot bedrijfscomputernetwerken en deze vervolgens aan andere hackers te verkopen.

UNC2447 is een "agressieve financieel gemotiveerde groep" die zich met ransomware in Europa en Noord-Amerika heeft gericht op organisaties, concludeerde het cyberbeveiligingsbedrijf Mandiant vorig jaar. Yanluowang, genoemd naar een Chinese godheid, is volgens Symantec een ransomware-variant die sinds augustus 2021 wordt gebruikt tegen Amerikaanse bedrijven. De Lapsus$-groep werd beschuldigd van een razernij van spraakmakende aanvallen op technologiebedrijven, waaronder Okta Inc., Microsoft Corp. en Nvidia Corp.

Bloomberg News meldde dat het vermoedelijke meesterbrein een 16-jarige Britse tiener was die in het huis van zijn moeder woonde.

Cisco zei dat het bewijs had gevonden dat de hacker zich voorbereidde om bestanden te versleutelen, maar dit niet was gelukt voordat ze werden gedetecteerd en opgestart. Er waren herhaalde pogingen om weer toegang te krijgen nadat de aanval was uitgezet, aldus Cisco.

De hack werd eerder gemeld door Bleeping Computer. + Verder verkennen

Okta ontkent datalek nadat hackers beweren toegang te hebben gekregen tot interne informatie

2022 Bloomberg L.P.
Gedistribueerd door Tribune Content Agency, LLC.