Cisco hackeado por un broker de acceso vinculado con Lapsus$
No se robó información personal de empleados o clientes de Cisco en el ataque, aunque algunos datos llegaron a la web oscura.
LAS VEGAS - Cisco reveló el miércoles un ciberataque que sufrió por parte de un actor de amenazas vinculado a las bandas de ciberdelincuentes Lapsus$, UNC2447 y Yanluowang.
El gigante de la seguridad y las redes dijo que tuvo conocimiento del ataque el 24 de mayo. Cisco descubrió, en el transcurso de su investigación, que el compromiso se produjo después de que el atacante obtuviera el control de la cuenta personal de Google de un empleado que tenía una serie de credenciales sincronizadas, según explicó una publicación del blog Cisco Talos.
A partir de ahí, el atacante "realizó una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones de confianza" para convencer al usuario víctima de que aceptara las notificaciones push de autenticación multifactor. El atacante finalmente tuvo éxito y obtuvo acceso a la VPN del usuario objetivo.
Aunque el atacante llevó a cabo una serie de acciones para ganar persistencia y escalar el acceso, Cisco dijo que el actor de la amenaza fue finalmente "eliminado del entorno", con intentos adicionales para recuperar el acceso frustrados en las semanas siguientes. Los detalles técnicos completos están disponibles en la publicación del blog de Talos.
En una divulgación de incidentes de seguridad corporativa publicada en el sitio web de Cisco, el proveedor dijo que no identificó "ningún impacto" en su negocio.
"Cisco no identificó ningún impacto en nuestro negocio como resultado de este incidente, incluyendo ningún impacto en ningún producto o servicio de Cisco, en los datos sensibles de los clientes o en la información sensible de los empleados, en la propiedad intelectual de Cisco o en las operaciones de la cadena de suministro", decía la divulgación. "El 10 de agosto, los malos actores publicaron una lista de archivos de este incidente de seguridad en la web oscura".
En la Black Hat 2022, nuestro portal hermano SearchSecurity habló con Nick Biasini, jefe global de divulgación de Cisco Talos y uno de los autores del post de Cisco Talos. Solo Biasini fue acreditado en el blog, pero aclaró que varios investigadores trabajaron en él.
Él se negó a añadir información adicional sobre el ataque. Sin embargo, dijo que la divulgación –que es muy transparente y ha sido elogiada por los profesionales de la ciberseguridad, entre ellos la directora de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, Jen Easterly– no se hizo coincidir deliberadamente con el Black Hat.
En cuanto al aspecto del ataque relacionado con las credenciales de Google, Biasini dijo que la práctica de robar credenciales del navegador "siempre ha existido".
"Habla más ampliamente de por qué cosas como los gestores de contraseñas son tan importantes y por qué las organizaciones y los individuos deberían usar gestores de contraseñas y no navegadores para ese tipo de cosas", dijo. "Los actores que roban credenciales de los navegadores no son algo nuevo. Lo llevan haciendo desde que yo trabajo en seguridad. Almacenar cualquier cosa en un navegador es arriesgado, independientemente de las credenciales. Por eso se utilizan gestores de contraseñas como mecanismo principal para ayudar a protegerse contra ello".
El 10 de agosto, el mismo día en que Cisco lo reveló, la banda de ransomware Yanluowang publicó en su sitio de filtraciones una serie de archivos de Cisco supuestamente robados. Aunque Cisco no dijo que los datos de Yanluowang fueran exactos, la publicación de Talos proporcionó información adicional sobre lo que fue robado, a saber, una carpeta no sensible de Box robada de la cuenta de un empleado comprometido.
En cuanto a la identidad del atacante, el blog de Talos afirmaba "con un nivel de confianza entre moderado y alto" que se trataba de un adversario previamente identificado como agente de acceso inicial, un actor de amenazas que obtiene acceso a las organizaciones víctimas antes de vender dicho acceso a otros actores de amenazas. El actor, según Cisco, tiene vínculos previos con las bandas UNC2447, Yanluowang y Lapsus$.
UNC2447 es un actor de ransomware con aparentes vínculos con Rusia; Yanluowang es una banda más reciente, descubierta el año pasado, que lleva a cabo ataques selectivos contra organizaciones utilizando una combinación de malware y software legítimo; y Lapsus$ es una banda de extorsión ya desaparecida que cobró notoriedad a principios de este año por sus ataques contra Microsoft, T-Mobile y otros.
Cuando se le preguntó si el ataque era sofisticado, Biasini llamó la atención sobre los aspectos de ingeniería social del ataque.
"[La ingeniería social es] algo que no es un simple proceso de ataque", dijo. "Aunque hablo de ingeniería social, se está volviendo cada vez más común; no es el tipo de cosa que vemos suceder ampliamente en grandes franjas de internet".
Los ataques de ingeniería social son cada vez más comunes, y el ejemplo más visible hasta la fecha es la brecha de Twitter de 2020. Aparentemente por coincidencia, Biasini dio una charla el jueves en Black Hat dedicada a la creciente prevalencia de los ataques de ingeniería social.
"Estoy aquí para hablar de la ingeniería social. Eso es algo interesante", dijo Biasini a SearchSecurity. "Para mí, es una de las áreas más emergentes en las que estoy viendo mucha más actividad y en la que las empresas no se centran necesariamente mucho. Llevamos 15 años diciendo a la gente que no haga clic en los archivos adjuntos ni en los enlaces, y ahora los adversarios están pasando a hacer cosas por teléfono. Pasamos todo este tiempo educando en estas dos cosas. Dejamos de lado una cosa, y ahora, los actores están empezando a fijarse en esa cosa que dejamos de lado".
Alexander Culafi es un escritor, periodista y podcaster con sede en Boston.