Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d’une cyberattaque plus tôt cette année.

Hier, dans un article de blog mis à jour, l’équipe de renseignement sur les menaces Talos de Cisco a déclaré que le contenu des fichiers publiés par le gang sur son site de fuite de données correspondait aux données de la liste des noms de fichiers que Yanluowang avait précédemment publiée prétendant provenir de l’entreprise.

Néanmoins, Cisco maintient qu’aucune donnée sensible de client, d’employé ou d’entreprise n’a été dérobée.

« Notre analyse précédente de cet incident demeure inchangée  », indique l’article de blog. « Nous continuons de ne voir aucun impact sur nos activités, y compris les produits ou services Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la chaîne d’approvisionnement. »

Cisco a reconnu en août avoir réalisé le 24 mai qu’il y avait eu une « compromission potentielle ». Les informations d’identification d’un employé de l’entreprise avaient été compromises après qu’un attaquant ait pris le contrôle de son compte Google personnel où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées. L’utilisateur avait activé la synchronisation du mot de passe via Google Chrome et avait stocké ses informations d’identification Cisco dans son navigateur, permettant à ces informations de se synchroniser avec son compte Google.

L’attaquant a ensuite lancé une série d’attaques de hameçonnage vocal sophistiquées sous le couvert de diverses organisations de confiance, tentant de convaincre la victime d’accepter les notifications poussées d’authentification multi-facteurs (AMF) initiées par l’attaquant, a déclaré Cisco. L’attaquant a finalement réussi à obtenir une acceptation d’une notification d’AMF poussée, lui donnant accès au VPN dans le contexte de l’utilisateur ciblé. Une fois que l’attaquant a obtenu l’accès initial, il a inscrit une série de nouveaux appareils à l’AMF et s’est authentifié avec succès auprès du VPN de Cisco. L’attaquant est ensuite passé aux privilèges administratifs, lui permettant de se connecter à plusieurs systèmes, ce qui a alerté l’équipe de réponse aux incidents de sécurité de Cisco.

Le cybercriminel a mené diverses activités pour maintenir l’accès, minimiser ses traces et augmenter son niveau d’accès aux systèmes de l’environnement avant d’être éjecté du système. Cette activité comprenait l’utilisation d’outils d’accès à distance tels que LogMeIn et TeamViewer, des outils de sécurité offensifs tels que Cobalt Strike, PowerSploit, Mimikatz et Impacket, ainsi que l’ajout des propres comptes de porte dérobée et mécanismes de persistance du gang.

Le service d’information Bleeping Computer a déclaré que le chef de Yanluowang lui avait dit que des milliers de fichiers de Cisco, y compris des documents classifiés, des schémas techniques et du code source, avaient été volés. Lorsque le site d’actualités a demandé des commentaires, Cisco a nié la possibilité que les intrus aient exfiltré ou accédé à tout code source.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Un gang prorusse aurait affirmé qu’un exploitant de pipeline canadien avait été piraté mais des experts canadiens sont sceptiques

Trois experts canadiens en cybersécurité sont sceptiques quant à l'affirmation d'un hacktiviste prorusse selon laquelle son gang aurait violé et endommagé le réseau de technologie d'exploitation d'une entreprise canadienne de gazoduc. 

DERNIÈRE HEURE : Au tour d’Hydro-Québec d’être victime d’une cyberattaque d’un gang prorusse

Se relevant à peine d’un épisode majeur de pannes de courant causées par le verglas la semaine dernière qui lui a valu d’être louangée par certains et critiquée par d’autres et au cours de laquelle plus d’un million de clients ont été privés d’électricité, parfois durant plusieurs jours, c’est maintenant d’une attaque de déni de service distribué (DDoS) qu’Hydro-Québec est victime. 

DERNIÈRE HEURE : Western Digital touchée par une violation de données ; les services de sauvegarde My Cloud sont en panne

Le fournisseur de disques durs et de stockage en nuage Western Digital affirme avoir subi une violation de ses contrôles de sécurité et un vol de données. 

La chaîne de cinéma canadienne Cineplex, la ville de Toronto et Investissement Québec parmi les victimes du piratage de GoAnywhere MFT

De plus en plus d'organisations canadiennes reconnaissent avoir été victimes de la vulnérabilité de l’application de transfert de fichiers géré GoAnywhere MFT exploitée par le gang de rançongiciels Clop. Le gang Clop a déclaré à Bleeping Computer qu'il avait touché 130 organisations. 

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.