Cisco admet que les données publiées par un gang de rançongiciels proviennent de ses systèmes

Cisco Systems a admis que les données publiées dimanche par le gang de rançongiciels Yanluowang avaient été volées au géant des réseaux lors d’une cyberattaque plus tôt cette année.

Hier, dans un article de blog mis à jour, l’équipe de renseignement sur les menaces Talos de Cisco a déclaré que le contenu des fichiers publiés par le gang sur son site de fuite de données correspondait aux données de la liste des noms de fichiers que Yanluowang avait précédemment publiée prétendant provenir de l’entreprise.

Néanmoins, Cisco maintient qu’aucune donnée sensible de client, d’employé ou d’entreprise n’a été dérobée.

« Notre analyse précédente de cet incident demeure inchangée  », indique l’article de blog. « Nous continuons de ne voir aucun impact sur nos activités, y compris les produits ou services Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de la chaîne d’approvisionnement. »

Cisco a reconnu en août avoir réalisé le 24 mai qu’il y avait eu une « compromission potentielle ». Les informations d’identification d’un employé de l’entreprise avaient été compromises après qu’un attaquant ait pris le contrôle de son compte Google personnel où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées. L’utilisateur avait activé la synchronisation du mot de passe via Google Chrome et avait stocké ses informations d’identification Cisco dans son navigateur, permettant à ces informations de se synchroniser avec son compte Google.

L’attaquant a ensuite lancé une série d’attaques de hameçonnage vocal sophistiquées sous le couvert de diverses organisations de confiance, tentant de convaincre la victime d’accepter les notifications poussées d’authentification multi-facteurs (AMF) initiées par l’attaquant, a déclaré Cisco. L’attaquant a finalement réussi à obtenir une acceptation d’une notification d’AMF poussée, lui donnant accès au VPN dans le contexte de l’utilisateur ciblé. Une fois que l’attaquant a obtenu l’accès initial, il a inscrit une série de nouveaux appareils à l’AMF et s’est authentifié avec succès auprès du VPN de Cisco. L’attaquant est ensuite passé aux privilèges administratifs, lui permettant de se connecter à plusieurs systèmes, ce qui a alerté l’équipe de réponse aux incidents de sécurité de Cisco.

Le cybercriminel a mené diverses activités pour maintenir l’accès, minimiser ses traces et augmenter son niveau d’accès aux systèmes de l’environnement avant d’être éjecté du système. Cette activité comprenait l’utilisation d’outils d’accès à distance tels que LogMeIn et TeamViewer, des outils de sécurité offensifs tels que Cobalt Strike, PowerSploit, Mimikatz et Impacket, ainsi que l’ajout des propres comptes de porte dérobée et mécanismes de persistance du gang.

Le service d’information Bleeping Computer a déclaré que le chef de Yanluowang lui avait dit que des milliers de fichiers de Cisco, y compris des documents classifiés, des schémas techniques et du code source, avaient été volés. Lorsque le site d’actualités a demandé des commentaires, Cisco a nié la possibilité que les intrus aient exfiltré ou accédé à tout code source.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d'identification d'un sous-traitant externe était le point de départ de l'attaque. Il pense également que l'agresseur était lié au gang d'extorsion Lapsus$.

Un employé d’Uber aurait donné son mot de passe à un usurpateur informatique

Un pirate informatique de 18 ans revendique la responsabilité de ce qui est considéré comme une énorme violation des contrôles de sécurité chez Uber.

Les pros de la sécurité des TI se concentrent sur la prévention des attaques mais des alertes importantes leur échappe

Selon un responsable de Cisco Systems, la plus grande erreur que commettent les dirigeants de la sécurité des TI est de consacrer trop de ressources à la conformité réglementaire et à la prévention des cyberattaques.

Le groupe hôtelier InterContinental victime d’une cyberattaque

La société hôtelière britannique InterContinental Hotels Group PLC (IHG) publiait hier une déclaration confirmant une cyberattaque sur un certain nombre de ses systèmes technologiques, deux jours après la perturbation de ses canaux de réservation et d'autres applications. IHG a déclaré qu'ils enquêtaient sur une « activité non autorisée ».

Balado Hashtag Tendances, 8 septembre 2022 — Informatique quantique, nouveau casque VR, nouveau service Netflix et fuite de données de TikTok

Balado Hashtag Tendances, 8 septembre 2022 — Cette semaine : Une sortie contre l’informatique quantique, un nouveau casque de réalité virtuelle pour Meta, un nouveau service à rabais pour Netflix et une prétendue fuite de données de TikTok.