Cisco: Beim Yanluowang-Ransomware-Angriff entwendete Firmendaten öffentlich

Sicherheit (Pexels, allgemeine Nutzung)[English]US-Hersteller Cisco war ja das Opfer eines Ransomware-Angriffs der Yanluowang-Gruppe, was auch bekannt gegeben wurde. Nun hat die Gruppe begonnen, Daten des Unternehmens, die bei diesem Angriff erbeutet wurden, zu veröffentlichen. Cisco hat inzwischen zu dieser neuen Veröffentlichung eine Stellungnahme abgegeben. Bisher gibt es keine Erkenntnisse, dass sehr sensitive Daten, die sich auf die Geschäfte des Unternehmens auswirken, erbeutet oder veröffentlicht wurden.


Anzeige

Rückblick: Der Yanluowang-Ransomware-Angriff

Ich hatte es im August 2022 im Blog-Beitrag Cisco gesteht Hack (im Mai 2022) ein und veröffentlicht Details gemeldet. Der US-Anbieter Cisco wurde im Mai 2022 Opfer eines Cyberangriffs. Der erste Zugriff auf das Cisco-VPN erfolgte durch die erfolgreiche Kompromittierung des persönlichen Google-Kontos eines Cisco-Mitarbeiters. Der Benutzer hatte die Kennwortsynchronisierung über Google Chrome aktiviert und seine Cisco-Anmeldedaten in seinem Browser gespeichert, so dass diese Informationen mit seinem Google-Konto synchronisiert werden konnten.

Der Angreifer führte eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durch und versuchte, das Opfer davon zu überzeugen, vom Angreifer initiierte Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA) zu akzeptieren. Am Ende des Tages gelang es den Angreifern der Yanluowang-Gruppe in die IT-Infrastruktur des Unternehmens einzudringen.

Ich hatte berichtet, dass die Angreifer eine Reihe von Citrix-Servern kompromittierten und schließlich privilegierten Zugriff auf Domänencontroller erlangten. Zum 10. August 2022 hat Cisco diesen Angriff öffentlich gemacht – auch weil die Angreifer erbeutete Informationen veröffentlichten. Von Cisco Talos hieß es, dass das Cisco-Sicherheitsteam frühzeitig auf die Angriffe aufmerksam wurde und den Angreifer (Yanluowang Ransomware-Gang) bei seinen Aktivitäten beobachten konnte. Zitat:

Cisco bestätigte, dass die einzige erfolgreiche Datenexfiltration, die während des Angriffs stattfand, den Inhalt eines Box-Ordners umfasste, der mit dem Konto eines kompromittierten Mitarbeiters und den Authentifizierungsdaten des Mitarbeiters aus dem Active Directory verbunden war. Die Box-Daten, die der Angreifer in diesem Fall erlangte, waren nicht sensibel.

Diese Aussagen basierten auf die vom Angreifer im Dark Web veröffentlichten Liste von Dateien aus diesem Sicherheitsvorfall. Die Details können in diesem CISCO-Beitrag nachgelesen werden. Eine FAQ zum Vorfall hat Cisco hier veröffentlicht.

Cisco bestätigt Datenleck

Nachfolgendem Tweet entnehme ich, dass die Yanluowang-Gruppe weitere Dateien, die beim Angriff erbeutet wurden, veröffentlicht. In diesem Artikel heißt es, dass bei obigem Cyber-Angriff insgesamt 55 GByte an Daten durch die  Yanluowang-Ransomware abgezogen wurden. Bleeping Computer teilten die Cyber-Kriminellen mit, dass sie Tausende von Dateien mit einer Gesamtgröße von 55 GB gestohlen haben, darunter auch geheime Dokumente, technische Pläne und Quellcode. Bleeping Computer ging ein Screenshot zu, der belegen soll, dass die Dateien einer Entwicklungsumgebung zu sehen seien – was aber nicht wirklich verifizierbar war.

Cisco Yanluowang Ransomware Group Data

Zum 11. September 2022 hat Cisco Talos ein Update seines Artikels zum Cyber-Angriff (sowie diesen Artikel) veröffentlicht. Dort heißt es, dass die Täter am 11. September 2022 Dateien im Dark Web veröffentlicht hätten. Diese Dateien stimmten mit der veröffentlichten Liste von Dateinamen aus dem Sicherheitsvorfall überein. Cisco gibt an, dass der Inhalt dieser Dateien mit dem übereinstimme, was man bereits identifiziert und veröffentlicht habe.

Die bisherige Bewertung durch Cisco zeige, so dass Unternehmen, dass dieser Vorfall keine Auswirkungen auf Waren oder Dienstleistungen von Cisco, Kundendaten, Mitarbeiterinformationen, geistiges Eigentum oder Lieferkettenabläufe hatte. Vorläufiges Fazit: Ja, Cisco ist von der Ransomware-Gruppe ausgetrickst worden und die Angreifer konnten ins IT-Netzwerk eindringen, um sogar einen Domänencontroller zu übernehmen. Aber die erbeuteten Daten sich nicht so kritisch, dass sie sich auf Produkte oder Dienstleistungen sowie Geschäftsgeheimnisse oder Beziehungen mit Lieferanten oder Kunden auswirken. Es bleibt spannend, ob sich Cisco am Ende des Tages bezüglich der Einschätzung korrigieren muss – oder ob die Ankündigungen der Ransomware-Gang heiße Luft waren.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Cisco: Beim Yanluowang-Ransomware-Angriff entwendete Firmendaten öffentlich

  1. A. Nonym sagt:

    John Hammond zeigt auf seinem Youtube-Kanal, wo Malware-Gruppen erbeutete Daten veröffentlichen. Betroffene können sich da informieren, was auf sie zukommen könnte.

  2. Jonas sagt:

    was ich schon beim ersten Artikel bemerkenswert finde:
    "privilegierten Zugriff auf Domänencontroller erlangten" vs "dass das Cisco-Sicherheitsteam frühzeitig auf die Angriffe aufmerksam wurde und den Angreifer bei seinen Aktivitäten beobachten konnte."

    Das Cisco Sicherheitsteam hat also zugesehen und so lange gewartet ("beobachtet"), wie die Gruppe erweiterte Rechte auf deinem Domänencontroller bekommen hat?

    Ich finde es schon erstaunlich, dass nicht eher die Reißleine gezogen worden ist, weil wenn nicht beim priv. Zugriff auf einen Domaincontroller, wann denn dann?

    • Markus sagt:

      Du hast Recht, ist schon etwas merkwürdig, das Cisco hier zusieht und abwartet. So liest es sich zumindest. Wenn ein Angreifer bei Cisco schon so weit kommt, ist es bei „normalen" Kunden wahrscheinlich noch leichter. Es sei denn, es war ein Honeypot. Die geleakten Daten würden dagegen sprechen. Allerdings ist Cisco auch der einzige, der detailliert den Angriff veröffentlicht hat, sogar mit den ausgeführten Befehlen. So etwas hat kein anderer bis jetzt gemacht, sie gehen offen damit um.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.