Cisco admet que son réseau d’entreprise a été compromis par un gang lié à Lapsus$.

Cisco a révélé mercredi que des cybercriminels avaient accédé à son réseau d’entreprise en mai, après que le compte Google personnel d’un employé eut été compromis – un acte qu’un gang de ransomware nommé « Yanluowang » a maintenant revendiqué comme son œuvre.

Une déclaration de Cisco affirme que l’entreprise « n’a pas identifié d’impact sur les activités de [its] à la suite de cet incident, y compris sur les produits ou services de Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la chaîne d’approvisionnement ».

Cisco Security Incident Response et le groupe intelligent de cybersécurité de l’entreprise, Cisco Talos, ont précisé que la seule exfiltration de données réussie provenait d’un compte de l’entreprise de stockage en nuage Box, associé au compte d’un employé compromis.

L’attaquant a réussi à passer un certain temps à l’intérieur du système informatique de Cisco. Selon l’article de Talos, l’attaquant a obtenu l’accès aux réseaux de Cisco, a inscrit une série d’appareils pour le MFA et s’est authentifié avec succès au VPN de Cisco. L’attaquant « a ensuite obtenu des privilèges administratifs, ce qui lui a permis de se connecter à plusieurs systèmes ». Cette action a alerté l’équipe de réponse aux incidents de sécurité de Cisco, qui est intervenue avec des « capacités étendues de surveillance informatique et de remédiation » pour « mettre en œuvre des protections supplémentaires, bloquer toute tentative d’accès non autorisé et atténuer la menace pour la sécurité ». Des efforts ont également été déployés pour améliorer « l’hygiène des employés en matière de cybersécurité ».

Le pirate a ensuite utilisé des techniques d’hameçonnage vocal qui ont permis aux agents d’appeler en utilisant différents accents et en se faisant passer pour diverses organisations de confiance, cherchant à aider l’employé de Cisco, jusqu’à ce qu’il ou elle craque et accepte une fausse notification MFA qui a permis aux pirates d’accéder au réseau privé virtuel (VPN). Une fois à l’intérieur, ils s’étendent latéralement aux serveurs Citrix et finissent par obtenir un accès privilégié aux contrôleurs de domaine.

L’attaquant a ensuite tenté d’établir une communication par courrier électronique avec des cadres de Cisco, montrant des listes de répertoires de leur butin – 2,75 Go de données contenant environ 3 700 fichiers – et suggérant que Cisco pourrait payer pour éviter la divulgation.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.