 |
|
|
La compañía Cisco reveló que sufrió un incidente de seguridad dirigido a su infraestructura corporativa de TI, ocurrido a finales de mayo de 2022. Este mes, la firma declaró que las credenciales de un empleado se vieron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google. Luego, los atacantes publicaron en la dark web una lista de archivos sustraídos tras el incidente.
Desde la compañía aseguraron que el incidente se contuvo en el entorno informático corporativo. Para dar seguridad a sus clientes, también señalaron que no se identificó ningún impacto en los productos o servicios de Cisco, ni en la información de los empleados, ni tampoco en las operaciones de la cadena de suministro.
Cisco confirmó que se tomaron las medidas inmediatas para contener y erradicar al actor malicioso, al que se ha vinculado con el conocido grupo de amenazas LAPSUS$.
Pese a que el incidente ocurrió en el mes de mayo, en la compañía tomaron la decisión de anunciar públicamente el incidente ahora, ya que antes estaban recopilando información sobre el actor malicioso, para ayudar a proteger a la comunidad de seguridad.
Un resumen ejecutivo del incidente, llamado “Cisco Security Incident Response” (CSIRT) y el grupo inteligente de ciberseguridad de la compañía, Cisco Talos, escribieron: “El atacante llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones de confianza, intentando convencer a la víctima de que aceptara las notificaciones push de autenticación multifactor (MFA) iniciadas por el atacante. El atacante finalmente logró una aceptación de MFA push, lo que les concedió acceso a la VPN en el contexto del usuario objetivo”.
CSIRT y Talos no han identificado ninguna evidencia que sugiera que el atacante obtuvo acceso a sistemas internos críticos, como los relacionados con el desarrollo de productos y la firma de código.
Por otro lado, Cisco evalúa que este ataque fue realizado por un adversario que ha sido identificado previamente como un agente de acceso inicial (IAB), con vínculos con la banda de ciberdelincuentes UNC2447, el grupo de actores de amenazas LAPSUS$ y los operadores de Ransomware Yanluowang.
UNC2447 es un agente de amenazas con motivaciones financieras y posee un nexo con Rusia que ha sido observado anteriormente en ataques de Ransomware, aprovechando una técnica conocida como “doble extorsión”, en la que los datos son exfiltrados antes del despliegue del Ransomware para coaccionar a las víctimas a pagar las demandas de rescate.
Cisco aconsejó a las organizaciones para que tomen medidas para mitigar los riesgos asociados a este incidente, incluyendo el fortalecimiento de la MFA, la verificación de dispositivos y la segmentación de la red: “La educación del usuario es también una parte clave para contrarrestar las técnicas de evasión de MFA. Igualmente importante para la implantación de la AMF es garantizar que los empleados sepan qué hacer y cómo responder si reciben solicitudes push erróneas en sus respectivos teléfonos. También es esencial educar a los empleados sobre a quién dirigirse si surgen tales incidentes para ayudar a determinar si el evento fue un problema técnico o malicioso”.
|
