Cisco ha vinculado al grupo de amenazas LAPSUS$ con el último ataque que sufrió su red informática. Desvela que las credenciales de un empleado han sido comprometidas luego de que tras este ataque se obtuviera el control de la cuenta personal de este empleado. Algo que ha afectado a los servidores de la compañía.
El gigante tecnológico ha admitido que sufrió este ataque y comenta que los malhechores han publicado una lista de archivos de este incidente en la Dark Web. Esto según la empresa la cuenta también ha comentado lo siguiente. «El incidente se contuvo en el entorno informático corporativo y Cisco no identificó ningún impacto en ningún producto o servicio de Cisco, en los datos sensibles de los clientes o en la información de los empleados, en la propiedad intelectual de Cisco o en las operaciones de la cadena de suministro”.
Adicionalmente a esto también afirma que ha tomado medidas inmediatas para evitar cualquier tipo de acto malicioso. Erradicando así cualquier filtración que pueda haber en su seguridad. También ha dado a conocer que este ataque se encuentra vinculado con el grupo de amenazas LAPSUS$. Ha anunciado públicamente que no había dado a conocer antes este ataque, el cual fue hecho en mayo de este año. Ya que estaban recopilando activamente información sobre el mismo para así advertir a la comunidad.
Ataque a la red informática de Cisco fue hecho con tácticas de “Phishing de voz sofisticado”
En el resumen ejecutivo del incidente Cisco junto al grupo inteligente de ciberseguridad de la compañía ha dado a conocer lo siguiente. “El atacante llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones de confianza. Intentando convencer a la víctima de que aceptara las notificaciones push de autenticación multifactor (MFA) iniciadas por el atacante. El atacante finalmente logró una aceptación de MFA push, lo que les concedió acceso a la VPN en el contexto del usuario objetivo.»
Además de esto la empresa y Talos han dado a conocer que no han identificado ningún tipo de evidencia que sugiera que el atacante llegó a obtener acceso a cualquiera de los sistemas internos críticos de la empresa. Ya que luego de obtener el acceso inicial se llevaron a cabo actividades para minimizar los daños. Cisco también comentó lo siguiente “A lo largo del ataque, observamos intentos de exfiltración de información del entorno».
Esto confirma que la única filtración de datos fue la filtración de una carpeta de Box la cual estaba asociada directamente a la del empleado que fue comprometido. Además los datos de autenticación del empleado, «Los datos de Box obtenidos por el adversario en este caso no eran sensibles. El actor de la amenaza fue eliminado con éxito del entorno y mostró persistencia, intentando repetidamente recuperar el acceso en las semanas siguientes al ataque. Sin embargo, estos intentos fueron infructuosos». Aunque a pesar de esto el atacante nunca hizo ningún tipo de amenaza de extorsión o demanda amenazante.