Cisco Systems Inc. dijo que fue víctima de un ataque cibernético en el que un pirata informático intentó repetidamente obtener acceso a la red corporativa de la empresa de Silicon Valley.

Cisco dijo que se dio cuenta de un posible compromiso el 24 de mayo y lo reveló el miércoles después de que el hacker filtró una lista de los archivos que había robado en la dark web.

Una investigación determinó que el pirata informático irrumpió en la red de Cisco al ingresar a la cuenta personal de Google de un empleado, que sincronizó sus contraseñas guardadas en la web, dijo la compañía con sede en San José, California, en una publicación de blog publicada el miércoles. Luego, el atacante fingió ser una organización de confianza durante las llamadas telefónicas con el empleado y logró persuadirlo para que aceptara una notificación de autenticación push multifactor en su dispositivo. Eso permitió al pirata informático obtener acceso a la red de Cisco utilizando las credenciales del empleado.

Cisco "no había identificado ninguna evidencia que sugiriera que el atacante obtuvo acceso a sistemas internos críticos, como los relacionados con el desarrollo de productos, la firma de códigos, etc.", según el blog. "La única filtración de datos exitosa que ocurrió durante el ataque incluyó el contenido de una carpeta de Box que estaba asociada con la cuenta de un empleado comprometido. Los datos obtenidos por el adversario en este caso no eran confidenciales".

Los investigadores dijeron que creen que el ataque fue realizado por un adversario que previamente había sido identificado como un corredor de acceso inicial para varios grupos de ciberdelincuencia notorios:operadores de ransomware UNC2447, Lapsus$ y Yanluowang. Los corredores de acceso inicial intentan obtener acceso privilegiado a las redes informáticas corporativas y luego venderlo a otros piratas informáticos.

UNC2447 es un "grupo agresivo motivado financieramente" que ha atacado organizaciones con ransomware en Europa y América del Norte, concluyó el año pasado la firma de ciberseguridad Mandiant. Yanluowang, que lleva el nombre de una deidad china, es una variante de ransomware que se ha utilizado contra corporaciones estadounidenses desde agosto de 2021, según Symantec. El grupo Lapsus$ fue acusado de llevar a cabo ataques de alto perfil contra empresas tecnológicas como Okta Inc., Microsoft Corp. y Nvidia Corp.

Bloomberg News informó que el presunto autor intelectual era un adolescente británico de 16 años que vivía en la casa de su madre.

Cisco dijo que encontró evidencia de que el pirata informático se estaba preparando para encriptar archivos, pero no había logrado hacerlo antes de que fueran detectados y eliminados. Hubo repetidos intentos de recuperar el acceso después de que el ataque fuera desalojado, según Cisco.

El hackeo fue reportado previamente por Bleeping Computer. + Explora más

Okta niega la violación de datos después de que los piratas afirman que obtuvieron acceso a información interna

2022 Bloomberg L.P.
Distribuido por Tribune Content Agency, LLC.