Monitor Más Monitor


Cisco confirma que sufrió un ataque a su red en mayo

Cisco confirma que sufrió un ataque a su red en mayo


Publicación:13-08-2022
++--

Cisco ha confirmado que su red sufrió un ciberataque el pasado mes de mayo.

 

Según ha reconocido la compañía en una nota, descubrió una incidencia de seguridad que afectaba a su infraestructura tecnológica corporativa el 24 de mayo, y aunque como consecuencia del ataque varios archivos internos de la empresa fueron comprometidos, y los atacantes publicaron diversa información de la compañía, Cisco asegura que no encontró ransomware en sus sistemas.

La empresa también ha asegurado que ha conseguido bloquear otros intentos de acceder a sus redes aparte de esta brecha de seguridad, y que ha tomado medidas para reforzar sus defensas para evitar incidentes de este tipo en el futuro, además de compartir detalles técnicos para ayudar a proteger a la comunidad relacionada con la seguridad. Sus responsables han señalado también que no han «identificado ningún impacto al negocio como resultado de este incidente, ni en los productos y servicios de Cisco, ni en os datos sensibles de clientes o en la información sensible sobre los empleados, la propiedad intelectual o las operaciones de cadena de suministro«.

Según Cisco Talos, la división de inteligencia de amenazas de la compañía, el ataque se produjo cuando las credenciales de un empleado quedaron comprometidas después de que un atacante se hiciese con el control de una cuenta personal de Google en la que las credenciales del individuo estaban almacenadas, y también sincronizadas.

A parte de la brecha de seguridad atacante, este utilizó ataques de phishing por voz, en los que aparentaba ser de organizaciones de confianza, para convencer a los usuarios para aceptar notificaciones fraudulentas de autenticación en varios pasos. Finalmente consiguió enviar estas notificaciones, lo que le permitió conseguir acceso a una VPN que emplean exclusivamente los empleados de Cisco.

Al parecer, el acceso fraudulento es obra de un broker de acceso inicial con lazos con el grupo de ciberdelincuentes UNC2447, con el grupo Lapsus$ y con los operadores de ransomware Yanluowang. Este tipo de atacantes se encargan de abrir las brechas de seguridad en las organizaciones, y después venden el acceso a grupos de ransomware y otros ciberdelincuentes.

El grupo UNC2447, especializado en ransomware, amenaza con publicar cualquier dato que consiga y que comprometa a los atacados. También se encarga de vender la información en foros e hackers, a no ser que los afectados paguen el rescate que les pidan. El grupo Lapsus$ se ha dedicado a atacar objetivos de alto nivel en los últimos meses empleando técnicas de ingeniería social. en cuanto al grupo Yanluowang, filtran los datos que consiguen y lanzan ataques de denegación de servicio a su objetivo hasta que este paga una cantidad para que cesen.



« Especial »