思科官方披露,内网遭到阎罗王勒索软件团伙入侵,少量非敏感数据泄露,并公布了攻击过程复原;

攻击者窃取一名员工的谷歌账号,通过浏览器同步的账密获得了思科内网VPN账号,利用复杂语音钓鱼电话获得了该员工的二次验证码,从而进入内网实施窃密;

恶意黑客声称窃取到2.75GB数据,约3100个文件,其中不少文件为保密协议、数据转储和工程图纸。

前情回顾·数据勒索大爆炸

  • 中欧天然气管道公司疑遭勒索软件攻击,150GB数据失窃
  • 全球数字信任体系恐遭毁灭性打击!证书巨头Entrust被勒索软件攻陷
  • 跨国建材巨头可耐福遭勒索软件攻击,所有IT系统被迫关闭

安全内参8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。

思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据

思科公司一位发言人向外媒BleepingComputer确认,“思科公司在2022年5月下旬经历了一起企业网络安全事件。我们立即采取行动,遏制并清理了恶意黑客。”

思科未发现此事件对公司业务造成过任何影响,包括思科产品或服务、敏感客户数据或敏感员工信息、知识产权或供应链运营。”

“8月10日,恶意黑客将期间窃取到的文件清单发布至暗网。我们已经采取了额外措施来保护自身系统,并公布了技术细节,希望协助保护更广泛的安全社区。”

图:“阎罗王”发给思科公司的邮件

利用被盗员工凭证入侵思科网络

“阎罗王”恶意团队首先劫持了思科员工的个人谷歌账户包含从浏览器同步的凭证),随后使用其中的被盗凭证获得了对思科网络的访问权限。

“阎罗王”团伙发出大量多因素身份验证(MFA)推送通知,用疲劳战术搞垮目标员工的心态,之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击

终于,恶意黑客成功诱导受害者接受了其中一条多因素验证通知,并结合目标用户上下文信息获得了对VPN的访问权限

在思科企业网络上成功站稳脚跟后,“阎罗王”团伙开始横向移动至Citrix服务器和域控制器

思科安全研究团队Talos表示,“对方进入了Citrix环境,入侵了一系列Citrix服务器,并最终获得了对域控制器的高权限访问。”

在获得域管理员身份后,他们使用域枚举工具(如ntdsutil、adfind以及secretsdump等)收集更多信息,将包括后门在内的多种有效载荷安装到受感染系统上

最后,思科检测到了这一恶意活动,并将恶意黑客从环境中驱逐了出去。在随后几周内,“阎罗王”团伙仍多次尝试重夺访问权限。

Talos团队补充道,“在获得初始访问权限后,恶意黑客曾采取多种行动来维持访问权限,希望尽可能破坏取证线索,并提高自己在环境中的系统访问级别。”

“恶意黑客随后被成功清理出思科环境,但仍没有彻底放弃。他们在攻击后的几周内,曾反复尝试重新夺取访问权限,但这些尝试均未能奏效。”

黑客称已经窃取到思科数据

上周,这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。

恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸

黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。

图:用于证明成功入侵思科网络的文件

恶意黑客已经在自己的数据泄露网站上公布了思科入侵事件,并附上了BleepingComputer此前收到的同一份文件目录。

思科系统并未被部署勒索软件

思科公司强调,尽管“阎罗王”团伙向来以加密锁定受害者文件而闻名,但此次攻击过程并未出现涉及勒索软件载荷的证据。

昨天(8月10日),思科Talos团队发布对该事件的响应过程文章称,“虽然我们并未在此次攻击中观察到勒索软件部署,但恶意黑客使用的战术、技术与程序(TTP)同以往的「勒索攻击预前活动」保持一致。也就是说,对方仍然延续了实际部署勒索软件之前的整个预备套路。”

“我们有中等到较强的信心,认为此次攻击是某初始访问代理(IAB)所为。之前已经确认,此代理同UNC2447网络犯罪团伙、Lapsus$恶意团伙以及「阎罗王」勒索软件团伙均有联系。”

“阎罗王”团伙近期还表示成功入侵了美国零售巨头沃尔玛的系统,但遭到受害者的明确否认。沃尔玛向BleepingComputer表示,自己并未发现勒索软件攻击的证据。