Băng đảng ransomware Diêm La Vương hack Cisco, đánh cắp 2,8GB dữ liệu

Cisco vừa xác nhận rằng băng đảng ransomware Diêm La Vương (Yanluowang) đã xâm nhập vào mạng lưới của công ty vào cuối tháng 5. Chúng cũng tìm cách tống tiền Cisco bằng các lời đe dọa rò rỉ file bị đánh cắp.

Cisco tiết lộ thêm rằng hacker chỉ có thể thu thập và đánh cắp dữ liệu không mấy nhạy cảm từ một thư mục Box được liên kết với tài khoản bị xâm nhập của một nhân viên.

"Cisco đã gặp sự cố bảo mật trên mạng của công ty vào cuối tháng 5 và chúng tôi đã ngay lập tức hành động để ngăn chặn và loại trừ các đối tượng xâm nhập", người phát ngôn của Cisco cho biết.

"Cisco không nhận thấy bất kỳ tác động nào đến hoạt động kinh doanh của chúng tôi gây ra bởi sự cố này, bao gồm các sản phẩm hoặc dịch vụ của Cisco, dữ liệu khách hàng nhạy cảm hoặc thông tin nhân viên nhạy cảm, sở hữu trí tuệ hoặc hoạt động chuỗi cung ứng.

Vào ngày 10/8, hacker đã công bố danh sách file từ sự cố bảo mật này lên dark web. Chúng tôi cũng đã thực hiện các biện pháp bổ sung để bảo vệ hệ thống của mình và đang chia sẻ các chi tiết kỹ thuật giúp bảo vệ cộng đồng bảo mật với quy mô lớn hơn".

Sử dụng thông tin đăng nhập đánh cắp của một nhân viên để xâm nhập mạng của Cisco

Hacker của băng đảng Diêm La Vương đã giành được quyền truy cập vào mạng của Cisco bằng cách sử dụng thông tin đăng nhập mà chúng đánh cắp được của một nhân viên Cisco. Từ tài khoản Google chiếm đoạt được từ nhân viên này, hacker đăng nhập được vào hệ thống của Cisco qua tính năng đồng bộ hóa của trình duyệt.

Bằng nhiều thủ đoạn khác nhau, hacker cũng thuyết phục được nhân viên này chấp nhận thông báo mã xác thực đa yếu tố (MFA).

Sau khi đã xâm nhập được vào mạng của Cisco, hacker tiếp tục truy cập vào máy chủ Citrix và bộ điều khiển domain.

"Chúng truy cập vào môi trường Citrix, xâm nhập vào một loạt máy chủ Citrix và cuooic cùng có được quyền truy cập đặc quyền vào bộ điều khiển domain", Cisco Talos chia sẻ.

Sau khi giành được quyền quản trị domain, chúng đã sử dụng các công cụ liệt kê như ntdsutil, adfind và secretdump để thu thập thêm thông tin và cài đặt một loạt payload độc hại vào hệ thống bị xâm nhập, bao gồm cả một backdoor.

Cuối cùng, Cisco đã phát hiện và loại bỏ hacker ra khỏi môi trường của công ty nhưng chúng tiếp tục cố gắng lấy lại quyền truy cập trong những tuần tiếp theo.

"Sau khi có được quyền truy cập ban đầu, hacker đã tiến hành nhiều hoạt động khác nhau để duy trì quyền truy cập, giảm thểu các bằng chứng pháp y và tăng mức độ truy cập của chúng vào các hệ thống trong môi trường", Cisco Talos tiết lộ thêm.

"Hacker đã bị xóa ra khỏi môi trường nhưng vẫn kiên trì, liên tục cố gắng lấy lại quyền truy cập trong những tuần sau cuộc tấn công nhưng những nỗ lực ấy đều không thành công".

Hacker tuyên bố đánh cắp nhiều dữ liệu từ Cisco

Theo BleepingComputer, hacker tuyên bố chúng đánh cắp được 2,75 GB dữ liệu từ Cisco, bao gồm khoảng 3.100 tệp khác nhau. Nhiều tệp trong số này là các thỏa thuận không tiết lộ (NDA), dữ liệu dump và các bản vẽ kỹ thuật.

Sau đó vào ngày 10/8, hacker cũng đã thông báo về vụ hack Cisco trên trang web riêng cảu chúng.

Không có phần mềm ransomware nào được triển khai

Cisco cho biết mặc dù băng đảng ransomware Diêm La Vương nổi tiếng với việc mã hóa dữ liệu của nạn nhân nhưng họ không tìm thấy dấu vết nào về phần mềm tống tiền trong cuộc tấn công này. Dẫu vậy, các dấu hiệu chỉ ra rằng hacker đang thực hiện các bước chuẩn bị để sẵn sàng triển khai ransomware.