Cisco отказалась платить выкуп за украденные данные.

93
2 минуты
12 сентября хакеры опубликовали на закрытых форумах часть файлов Cisco. Это произошло после того, как компания отказалась платить выкуп за украденные данные.

Cisco подтвердила, что злоумышленники смогли скопировать неконфиденциальные данные, к которым был доступ у взломанной учётной записи сотрудника. Хакеры рассказали, что успели до блокировки своей деятельности скачать более 55 ГБ данных компании, включая несколько тысяч файлов с документами партнёров с соглашениями о неразглашении, дампов данных и технических чертежей сетевых устройств.

В компании пояснили, что в ходе атаки никакие файлы на серверах зашифрованы или удалены не были, хотя злоумышленники пытались это сделать, а утечка данных никак не повлияет на бизнес Cisco. В компании заявили, что хакеры не скачали никакой конфиденциальной информации и данных, касающихся интеллектуальной собственности и технических разработок производителя сетевого оборудования. «У нас нет доказательств, позволяющих предположить, что злоумышленники получили доступ к исходным кодам и разработкам Cisco», — рассказали в компании.

10 августа Cisco подтвердила факт взлома своих корпоративных систем. Инцидент с проникновением и развёртыванием зловредного ПО внутри периметра организации произошёл в конце мая.

Эксперты Cisco Talos рассказали, что хакеры получили доступ к сети Cisco, используя украденные учётные данные сотрудника после взлома его личной учётной записи Google, которая была синхронизирована для входа во внутреннюю сеть через браузер. Причём хакеры в процессе атаки убедили сотрудника Cisco назвать им данные из пуш-уведомления системы многофакторной аутентификации (MFA) с помощью голосовой фишинговой атаки, выдав себя за сотрудника техподдержки компании.

После этого хакеры смогли получить доступ к VPN компании через учётку пользователя. Потом злоумышленники попытались распространить в корпоративной сети инструменты вируса-шифровальщика Yanluowang. Им удалось это сделать на некоторых серверах и контроллерах домена Citrix. «Они перешли в среду Citrix, скомпрометировав ряд серверов, и в конечном итоге получили привилегированный доступ к контроллерам домена», — пояснили в Cisco Talos.

Получив права администратора домена, хакеры использовали специальное ПО и инструменты ntdsutil, adfind и secretsdump для сбора дополнительной информации. Злоумышленники смогли развернуть на скомпрометированных серверах несколько зловредов, включая бэкдор. Эксперты компании смогли обнаружить и удалить все зловреды, но хакеры успели скачать некоторые файлы из внутренней сети.

Источник: https://habr.com/ru/news/t/687942/