Cisco hat einen Sicherheitsvorfall bestätigt, bei dem möglicherweise das Netzwerk des Unternehmens kompromittiert wurde. Den unbekannten Tätern gelang es demnach die Anmeldedaten eines Mitarbeiters zu stehlen und auch die Mehrfaktor-Authentifizierung zu umgehen. Mit den Anmeldedaten erhielten die Hacker schließlich einen VPN-Zugang.
Den Einbruch entdeckte Cisco am 24. Mai. Nach Angaben des Unternehmens sind seitdem das hauseigene Security Incident Response Team sowie Cisco Talos mit der Abwehr und Analyse des Angriffs beschäftigt.
Dabei fand Cisco heraus, dass die Angreifer zuerst das persönliche Google-Konto des Mitarbeiters knackten und dann auf die in dessen Browser hinterlegten Zugangsdaten für das Unternehmens-VPN zugriffen.
Attacke bleibt ohne Auswirkungen auf Ciscos Geschäft
Laut Cisco war der Zugang jedoch durch eine Mehrfaktor-Authentifizierung geschützt. Per Voice Phishing erreichten die Cyberkriminellen jedoch, dass das Opfer vom Angreifer ausgelöste Push-Benachrichtigungen akzeptierte, was ihnen letztlich den Zugang zum Unternehmensnetzwerk ermöglichte.
Den Zugang nutzten die Angreifer, um ihre Spuren zu verwischen und sich höhere Rechte als die den von ihnen gehackten Mitarbeiters zu verschaffen. Allerdings konnten die Angreifer laut Cisco erfolgreich aus dem Netzwerk verbannt werden. Nachfolgende Versuche, erneut in das Netzwerk einzudringen, seien erfolgreich unterbunden worden.
Cisco geht davon aus, dass es sich bei dem Angreifer um einen sogenannten Initial Access Broker handelt, der Zugänge zu Unternehmensnetzwerken herstellt und anschließend an andere Cyberkriminelle verkauft. Der fragliche Broker soll Verbindungen zu einer Cybercrime-Gang namens UNC2447, der Hackgruppe Lapsus$ und den Hintermännern der Ransomware Yanluowang unterhalten.
“Cisco konnte keine Auswirkungen dieses Vorfalls auf sein Geschäft feststellen, auch keine Auswirkungen auf Cisco-Produkte oder -Dienste, sensible Kundendaten oder sensible Mitarbeiterinformationen, geistiges Eigentum von Cisco oder die Lieferkette”, teilte das Unternehmen mit. “Am 10. August veröffentlichten die Angreifer eine Liste von Dateien aus diesem Sicherheitsvorfall im Dark Web.”
Wie BleepingComputer berichtet, bekannte sich die Yanluowang-Gruppe zu dem Einbruch. Sie behauptet demnach 2,75 GByte Daten verteilt auf rund 3100 Dateien entwendet zu haben. Dabei soll es sich überwiegend um Verschwiegenheitsvereinbarungen und technische Zeichnungen handeln. Laut Cisco Talos wurden jedoch keine Dateien im Cisco-Netzwerk verschlüsselt.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.