Cisco hat einen Sicherheitsvorfall bestätigt, bei dem möglicherweise das Netzwerk des Unternehmens kompromittiert wurde. Den unbekannten Tätern gelang es demnach die Anmeldedaten eines Mitarbeiters zu stehlen und auch die Mehrfaktor-Authentifizierung zu umgehen. Mit den Anmeldedaten erhielten die Hacker schließlich einen VPN-Zugang.
Den Einbruch entdeckte Cisco am 24. Mai. Nach Angaben des Unternehmens sind seitdem das hauseigene Security Incident Response Team sowie Cisco Talos mit der Abwehr und Analyse des Angriffs beschäftigt.
Dabei fand Cisco heraus, dass die Angreifer zuerst das persönliche Google-Konto des Mitarbeiters knackten und dann auf die in dessen Browser hinterlegten Zugangsdaten für das Unternehmens-VPN zugriffen.
Attacke bleibt ohne Auswirkungen auf Ciscos Geschäft
Laut Cisco war der Zugang jedoch durch eine Mehrfaktor-Authentifizierung geschützt. Per Voice Phishing erreichten die Cyberkriminellen jedoch, dass das Opfer vom Angreifer ausgelöste Push-Benachrichtigungen akzeptierte, was ihnen letztlich den Zugang zum Unternehmensnetzwerk ermöglichte.
Den Zugang nutzten die Angreifer, um ihre Spuren zu verwischen und sich höhere Rechte als die den von ihnen gehackten Mitarbeiters zu verschaffen. Allerdings konnten die Angreifer laut Cisco erfolgreich aus dem Netzwerk verbannt werden. Nachfolgende Versuche, erneut in das Netzwerk einzudringen, seien erfolgreich unterbunden worden.
Cisco geht davon aus, dass es sich bei dem Angreifer um einen sogenannten Initial Access Broker handelt, der Zugänge zu Unternehmensnetzwerken herstellt und anschließend an andere Cyberkriminelle verkauft. Der fragliche Broker soll Verbindungen zu einer Cybercrime-Gang namens UNC2447, der Hackgruppe Lapsus$ und den Hintermännern der Ransomware Yanluowang unterhalten.
“Cisco konnte keine Auswirkungen dieses Vorfalls auf sein Geschäft feststellen, auch keine Auswirkungen auf Cisco-Produkte oder -Dienste, sensible Kundendaten oder sensible Mitarbeiterinformationen, geistiges Eigentum von Cisco oder die Lieferkette”, teilte das Unternehmen mit. “Am 10. August veröffentlichten die Angreifer eine Liste von Dateien aus diesem Sicherheitsvorfall im Dark Web.”
Wie BleepingComputer berichtet, bekannte sich die Yanluowang-Gruppe zu dem Einbruch. Sie behauptet demnach 2,75 GByte Daten verteilt auf rund 3100 Dateien entwendet zu haben. Dabei soll es sich überwiegend um Verschwiegenheitsvereinbarungen und technische Zeichnungen handeln. Laut Cisco Talos wurden jedoch keine Dateien im Cisco-Netzwerk verschlüsselt.
Die Kombination aus Blockieren und fundierter Analyse bietet eine resiliente Sicherheitsarchitektur, sagt Andrea Napoli von…
Projekt: Per Tablet ärztliche Expertise hinzuzuziehen, wenn sich der Gesundheitszustand von Pflegepersonen plötzlich verschlechtert.
Sicherheitsforscher von Check Point enthüllen mehrstufige Malware-Kampagnen, die legitime Prozesse zur Tarnung nutzen.
Laut Berechnungen des Öko-Instituts wird sich der Stromverbrauch von aktuell rund 50 auf etwa 550…
Bombardier will den Entwicklungsprozess von Flugzeugen mit Siemens Xcelerator digitalisieren – vom Konzept bis zur…
Automatisierte Softwareverteilung, zentralisierte Updates und ein optimiertes Lizenzmanagement entlasten die IT-Abteilung.
