Bloomberg — Cisco Systems Inc. (CSCO) dijo el miércoles que fue víctima de un ataque cibernético en el que un pirata informático intentó obtener acceso a la red corporativa de la compañía de Silicon Valley.
Cisco dijo que notó el ataque el 24 de mayo y lo reveló el miércoles después de que el pirata informático filtró una lista de los archivos que había robado en la web oscura.
Investigadores dijeron que creen que el ataque fue realizado por un adversario que había sido identificado antes como un corredor de acceso inicial para varios grupos de ciberdelincuencia notorios: operadores de ransomware UNC2447, Lapsus$ y Yanluowang. Los corredores de acceso inicial intentan obtener acceso privilegiado a las redes informáticas corporativas y luego venderlo a otros piratas informáticos.
La investigación determinó que el pirata irrumpió en la red de Cisco al ingresar a la cuenta personal de Google de un empleado, que sincronizó sus contraseñas guardadas en la web, dijo la compañía con sede en San José, California, en una entrada de blog publicada el miércoles.
El hacker fingió más tarde ser de una organización de confianza durante llamadas telefónicas con el empleado y logró persuadirlo para que aceptara una notificación de autenticación en su dispositivo. Eso permitió al pirata informático obtener acceso a la red de Cisco utilizando las credenciales del empleado.
Según el blog, Cisco “no había identificado ninguna evidencia que sugiriera que el atacante obtuvo acceso a sistemas internos críticos, como los relacionados con el desarrollo de productos, la firma de códigos, etc.”. “La única filtración de datos exitosa que ocurrió durante el ataque incluyó el contenido de una carpeta de Box que estaba asociada con la cuenta de un empleado comprometido. Los datos obtenidos por el adversario en este caso no eran sensibles”, destacó.
UNC2447 es un “grupo agresivo motivado financieramente” que se ha dirigido a organizaciones con ransomware en Europa y América del Norte, concluyó en 2021 la firma de seguridad cibernética Mandiant . Yanluowang, que lleva el nombre de una deidad china, es una variante de ransomware que se ha utilizado contra corporaciones estadounidenses desde agosto de 2021, de acuerdo con Symantec.
El grupo Lapsus$ fue acusado de lanzar ataques de alto perfil contra empresas tecnológicas como Okta Inc., Microsoft Corp. y Nvidia Corp.
Bloomberg News informó que el presunto autor intelectual era un adolescente británico de 16 años que vivía en la casa de su madre.
Cisco dijo que encontró evidencia de que el pirata informático se estaba preparando para encriptar archivos, pero no había logrado hacerlo antes de que fueran detectados y eliminados. Se tuvo conocimiento de repetidos intentos de recuperar el acceso después de que el ataque fuera desalojado, según Cisco.
El hackeo fue reportado previamente por Bleeping Computer.
Lea más en Bloomberg.com