Cisco hari ini mengkonfirmasi bahwa kelompok ransomware Yanluowang melanggar jaringan perusahaannya pada akhir Mei dan bahwa aktor tersebut mencoba memeras mereka di bawah ancaman membocorkan file curian secara online.
Perusahaan mengungkapkan bahwa penyerang hanya dapat memanen dan mencuri data yang tidak sensitif dari folder Box yang ditautkan ke akun karyawan yang disusupi.
“Pada 10 Agustus, aktor jahat menerbitkan daftar file dari insiden keamanan ini ke web gelap. Kami juga telah menerapkan langkah-langkah tambahan untuk melindungi sistem kami dan membagikan detail teknis untuk membantu melindungi komunitas keamanan yang lebih luas.”
Pelaku ancaman Yanluowang memperoleh akses ke jaringan Cisco menggunakan kredensial curian karyawan setelah membajak akun Google pribadi karyawan yang berisi kredensial yang disinkronkan dari browser mereka.
Penyerang meyakinkan karyawan Cisco untuk menerima pemberitahuan push multi-factor authentication (MFA) melalui kelelahan MFA dan serangkaian serangan phishing suara canggih yang diprakarsai oleh geng Yanluowang yang meniru organisasi pendukung tepercaya.
Kelelahan MFA adalah taktik serangan di mana pelaku ancaman mengirimkan aliran konstan permintaan otentikasi multi-faktor untuk mengganggu target dengan harapan bahwa mereka akhirnya akan menerima satu untuk menghentikan mereka dari yang dihasilkan.
Pelaku ancaman akhirnya menipu korban untuk menerima salah satu notifikasi MFA dan mendapatkan akses ke VPN dalam konteks pengguna yang ditargetkan.
Begitu mereka mendapatkan pijakan di jaringan perusahaan perusahaan, operator Yanluowang menyebar secara lateral ke server Citrix dan pengontrol domain.
Setelah mendapatkan admin domain, mereka menggunakan alat enumerasi seperti ntdsutil, adfind, dan secretdump untuk mengumpulkan lebih banyak informasi dan memasang serangkaian muatan ke sistem yang disusupi, termasuk malware pintu belakang.
Pada akhirnya, Cisco mendeteksi dan mengusir penyerang dari lingkungannya, tetapi mereka terus mencoba untuk mendapatkan kembali akses selama beberapa minggu berikutnya.
Untuk membantu admin jaringan dan profesional keamanan mendeteksi malware yang digunakan dalam serangan, Cisco membuat dua deteksi ClamAV baru untuk pintu belakang dan eksploitasi Windows yang digunakan untuk peningkatan hak istimewa.
Menangkan.Mengeksploitasi.Kolobko-9950675-0
Menangkan.Pintu Belakang.Kolobko-9950676-0
Sementara Cisco memberikan beberapa informasi tentang pintu belakang dan bagaimana itu digunakan untuk mengeksekusi perintah dari jarak jauh, tulisan mereka tidak menyebutkan info tentang eksploit yang dapat dieksekusi yang ditemukan.
Namun, menurut deteksi di VirusTotal, eksploitasinya adalah untuk CVE-2022-24521, kerentanan Windows Common Log File System Driver Elevation of Privilege, yang dilaporkan oleh NSA dan CrowdStrike ke Microsoft dan ditambal pada April 2022.
Peretas mengklaim mencuri data dari Cisco
Pekan lalu, aktor ancaman di balik peretasan Cisco mengirim email ke BleepingComputer daftar direktori file yang diduga dicuri selama serangan itu.
Pelaku pengancam mengaku telah mencuri data sebesar 2,75GB yang terdiri dari sekitar 3.100 file. Banyak dari file-file ini adalah perjanjian non-disclosure, dump data, dan gambar teknik.
Pelaku ancaman juga mengirim dokumen NDA yang disunting yang dicuri dalam serangan tersebut ke BleepingComputer sebagai bukti serangan dan “petunjuk” bahwa mereka melanggar jaringan Cisco dan mengekstrak file.
Hari ini, pemeras mengumumkan pelanggaran Cisco di situs kebocoran data mereka dan menerbitkan daftar direktori yang sama yang sebelumnya dikirim.
Cisco juga mengatakan bahwa, meskipun geng Yanluowang dikenal karena mengenkripsi file korban mereka, mereka tidak menemukan bukti muatan ransomware selama serangan tersebut.
Geng Yanluowang juga mengklaim baru-baru ini melanggar sistem pengecer Amerika Walmart yang membantah serangan itu, mengatakan kepada BleepingComputer bahwa mereka tidak menemukan bukti serangan ransomware.
Pembaruan: Menambahkan lebih banyak info tentang aktivitas Yanluowang dalam jaringan perusahaan Cisco.
Pembaruan 8/11/22: Menambahkan info tentang deteksi ClamAV dan mengeksploitasi executable yang digunakan dalam serangan.
Sumber: Bleeping Computer