Cisco meldet Hackerangriff
Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters und erbeuten VPN-Zugangsdaten. Zu dem Angriff bekennt sich die Ransomware-Gruppe Yanluowang.
Cisco hat einen Sicherheitsvorfall bestätigt, bei dem möglicherweise das Netzwerk des Unternehmens kompromittiert wurde. Den unbekannten Tätern gelang es demnach die Anmeldedaten eines Mitarbeiters zu stehlen und auch die Mehrfaktor-Authentifizierung zu umgehen. Mit den Anmeldedaten erhielten die Hacker schließlich einen VPN-Zugang.
Den Einbruch entdeckte Cisco am 24. Mai. Nach Angaben des Unternehmens sind seitdem das hauseigene Security Incident Response Team sowie Cisco Talos mit der Abwehr und Analyse des Angriffs beschäftigt.
Dabei fand Cisco heraus, dass die Angreifer zuerst das persönliche Google-Konto des Mitarbeiters knackten und dann auf die in dessen Browser hinterlegten Zugangsdaten für das Unternehmens-VPN zugriffen.
Attacke bleibt ohne Auswirkungen auf Ciscos Geschäft
Laut Cisco war der Zugang jedoch durch eine Mehrfaktor-Authentifizierung geschützt. Per Voice Phishing erreichten die Cyberkriminellen jedoch, dass das Opfer vom Angreifer ausgelöste Push-Benachrichtigungen akzeptierte, was ihnen letztlich den Zugang zum Unternehmensnetzwerk ermöglichte.
Den Zugang nutzten die Angreifer, um ihre Spuren zu verwischen und sich höhere Rechte als die den von ihnen gehackten Mitarbeiters zu verschaffen. Allerdings konnten die Angreifer laut Cisco erfolgreich aus dem Netzwerk verbannt werden. Nachfolgende Versuche, erneut in das Netzwerk einzudringen, seien erfolgreich unterbunden worden.
Cisco geht davon aus, dass es sich bei dem Angreifer um einen sogenannten Initial Access Broker handelt, der Zugänge zu Unternehmensnetzwerken herstellt und anschließend an andere Cyberkriminelle verkauft. Der fragliche Broker soll Verbindungen zu einer Cybercrime-Gang namens UNC2447, der Hackgruppe Lapsus$ und den Hintermännern der Ransomware Yanluowang unterhalten.
“Cisco konnte keine Auswirkungen dieses Vorfalls auf sein Geschäft feststellen, auch keine Auswirkungen auf Cisco-Produkte oder -Dienste, sensible Kundendaten oder sensible Mitarbeiterinformationen, geistiges Eigentum von Cisco oder die Lieferkette”, teilte das Unternehmen mit. “Am 10. August veröffentlichten die Angreifer eine Liste von Dateien aus diesem Sicherheitsvorfall im Dark Web.”
Wie BleepingComputer berichtet, bekannte sich die Yanluowang-Gruppe zu dem Einbruch. Sie behauptet demnach 2,75 GByte Daten verteilt auf rund 3100 Dateien entwendet zu haben. Dabei soll es sich überwiegend um Verschwiegenheitsvereinbarungen und technische Zeichnungen handeln. Laut Cisco Talos wurden jedoch keine Dateien im Cisco-Netzwerk verschlüsselt.