Cisco diz que hacker violou sua rede através da conta do Google de funcionário
O invasor realizou uma série de ataques sofisticados de phishing de voz sob o disfarce de várias organizações confiáveis tentando convencer a vítima a aceitar notificações push de autenticação multifator (MFA) iniciadas pelo invasor, o próprio braço de pesquisa de ameaças Cisco Talos da empresa revelou em um blog publicar.
O incidente ocorreu em maio e, desde então, a empresa vem trabalhando para remediar o ataque.
“Durante a investigação, foi determinado que as credenciais de um funcionário da Cisco foram comprometidas depois que um invasor obteve o controle de uma conta pessoal do Google, onde as credenciais salvas no navegador da vítima estavam sendo sincronizadas”, escreveu Cisco Talos.
A empresa disse que não identificou evidências sugerindo que o invasor obteve acesso a sistemas internos críticos, como desenvolvimento de produtos, assinatura de código etc.
“O agente da ameaça foi removido com sucesso do ambiente e exibiu persistência, repetidamente tentando recuperar o acesso nas semanas seguintes ao ataque; no entanto, essas tentativas não tiveram sucesso”, disse Cisco.
De acordo com a empresa, o ataque foi conduzido por um adversário previamente identificado como um agente de acesso inicial (IAB) com vínculos com a gangue de crimes cibernéticos UNC2447, o grupo de atores de ameaças Lapsus$ e Yanluowang. ransomware operadores.
O Lapsus$ é um grupo de agentes de ameaças que supostamente foi responsável por várias violações notáveis anteriores de ambientes corporativos.
A Cisco disse que implementou uma redefinição de senha em toda a empresa imediatamente após saber do incidente.
A empresa não observou a implantação de ransomware neste ataque.
Em muitos casos, os agentes de ameaças foram observados visando a infraestrutura de backup para remover ainda mais a capacidade de recuperação de uma organização após um ataque.
“Garantir que os backups estejam offline e testados periodicamente pode ajudar a mitigar esse risco e garantir a capacidade de uma organização de se recuperar após um ataque de forma eficaz”, disse a empresa.
FacebookTwitterLinkedin
Source link