Cisco hat einen Sicherheitsvorfall bestätigt, bei dem möglicherweise das Netzwerk des Unternehmens kompromittiert wurde. Den unbekannten Tätern gelang es demnach die Anmeldedaten eines Mitarbeiters zu stehlen und auch die Mehrfaktor-Authentifizierung zu umgehen. Mit den Anmeldedaten erhielten die Hacker schließlich einen VPN-Zugang.

Den Einbruch entdeckte Cisco am 24. Mai. Nach Angaben des Unternehmens sind seitdem das hauseigene Security Incident Response Team sowie Cisco Talos mit der Abwehr und Analyse des Angriffs beschäftigt.

Dabei fand Cisco heraus, dass die Angreifer zuerst das persönliche Google-Konto des Mitarbeiters knackten und dann auf die in dessen Browser hinterlegten Zugangsdaten für das Unternehmens-VPN zugriffen.

Attacke bleibt ohne Auswirkungen auf Ciscos Geschäft

Laut Cisco war der Zugang jedoch durch eine Mehrfaktor-Authentifizierung geschützt. Per Voice Phishing erreichten die Cyberkriminellen jedoch, dass das Opfer vom Angreifer ausgelöste Push-Benachrichtigungen akzeptierte, was ihnen letztlich den Zugang zum Unternehmensnetzwerk ermöglichte.

Den Zugang nutzten die Angreifer, um ihre Spuren zu verwischen und sich höhere Rechte als die den von ihnen gehackten Mitarbeiters zu verschaffen. Allerdings konnten die Angreifer laut Cisco erfolgreich aus dem Netzwerk verbannt werden. Nachfolgende Versuche, erneut in das Netzwerk einzudringen, seien erfolgreich unterbunden worden.

Cisco geht davon aus, dass es sich bei dem Angreifer um einen sogenannten Initial Access Broker handelt, der Zugänge zu Unternehmensnetzwerken herstellt und anschließend an andere Cyberkriminelle verkauft. Der fragliche Broker soll Verbindungen zu einer Cybercrime-Gang namens UNC2447, der Hackgruppe Lapsus$ und den Hintermännern der Ransomware Yanluowang unterhalten.

“Cisco konnte keine Auswirkungen dieses Vorfalls auf sein Geschäft feststellen, auch keine Auswirkungen auf Cisco-Produkte oder -Dienste, sensible Kundendaten oder sensible Mitarbeiterinformationen, geistiges Eigentum von Cisco oder die Lieferkette”, teilte das Unternehmen mit. “Am 10. August veröffentlichten die Angreifer eine Liste von Dateien aus diesem Sicherheitsvorfall im Dark Web.”

Wie BleepingComputer berichtet, bekannte sich die Yanluowang-Gruppe zu dem Einbruch. Sie behauptet demnach 2,75 GByte Daten verteilt auf rund 3100 Dateien entwendet zu haben. Dabei soll es sich überwiegend um Verschwiegenheitsvereinbarungen und technische Zeichnungen handeln. Laut Cisco Talos wurden jedoch keine Dateien im Cisco-Netzwerk verschlüsselt.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago