Personne n’est à l’abri des ransomwares. Cisco vient d’annoncer qu’à la fin du mois de mai dernier un groupe de ransomware nommé Yanluowang a réussi à s’introduire dans son réseau pour dérober des fichiers. Le gang a aussi tenté d’extorquer l’équipementier en le menaçant d’une publication des documents volés. Pour arriver à leur fin, les cybercriminels ont compromis le compte personnel Google d’un employé de Cisco associé avec un compte Box.

La division sécurité de l’équipementier, Talos, a donné plus de détail sur la manière de procéder. L'attaquant a convaincu l'employé de Cisco d'accepter les notifications push d'authentification multifactorielle (MFA) par le biais de « la fatigue MFA et d'une série d'attaques sophistiquées de phishing vocal ». Une tactique payante, car le collaborateur accepte une de ses notifications et les cybecriminels peuvent ainsi accéder à son VPN et prendre pied dans le réseau de l’entreprise. Par la suite, le gang s’est déplacé latéralement pour compromettre des serveurs Citrix et obtenir des élévations de privilèges sur les contrôleurs de domaines. Disposant d’un pouvoir admin, ils ont utilisé des outils d'énumération comme ntdsutil, adfind et secretsdump pour collecter plus d'informations et ont installé une série de charges utiles sur les systèmes compromis, y compris une porte dérobée.

Un danger écarté, mais des données dérobées

A ce moment-là, les agissements des pirates ont été détectés par les équipes sécurité de Cisco et les ont expulsés du réseau en révoquant les accès. Toujours selon Talos, le gang a essayé dans les semaines suivantes de revenir à la charge en vain. « Après avoir obtenu l'accès initial, l’attaquant a mené diverses actions pour maintenir l'accès, minimiser les artefacts forensic et augmenter son niveau d'accès aux systèmes dans l'environnement », ajoute Talos. En vain, toutes les tentatives ont échoué.

La semaine dernière, le gang a menacé de publier sur le Dark Web des données issues du piratage de Cisco. Il revendiquait le vol de 2,75 Go de données soit environ près de 3 100 fichiers. Selon nos confrères de Bleepingcomputer, les informations comprennent des accords sous NDA, des copies de données et des dessins techniques. Le groupe Yuanluowang est passé à l’action en publiant sur son site la liste des dossiers dérobés. Cisco reste prudent mais confiant en soulignant dans un communiqué, ne pas avoir « identifié d'impact sur son activité suite à cet incident, notamment sur les produits ou services Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la supply chain ». Dans son enquête, l’équipementier estime que « cette attaque a été menée par un adversaire qui a été précédemment identifié comme un courtier d'accès initial (IAB) ayant des liens avec le gang cybercriminel UNC2447, le groupe Lapsus$ et les opérateurs de ransomware Yanluowang ». Cisco note aussi qu’aucun ransomsware n’a été déployé au cours de l’attaque.