Cisco Talos confirma filtración de datos

Los atacantes habrían utilizado conocida táctica de ingeniería social.

Cisco Talos confirmó que un actor de ransomware vulneró su red en mayo de 2022, aunque se negó a confirmar la extracción de cuantiosos datos desde sus servidores.

Talos, que es la división de seguridad de Cisco, dijo el miércoles que tuvo conocimiento de la brecha por primera vez el 24 de mayo y que ha estado trabajando para corregir la situación desde entonces.

El atacante pudo sustraer las credenciales de un empleado de Talos utilizando técnicas “sofisticadas”. Entre ellas, se hizo con el control de la cuenta personal de Google del empleado, donde se sincronizaban sus credenciales de Talos, y con métodos de ingeniería social como una serie de mensajes de phishing de voz convincentes de organizaciones aparentemente legítimas.

Los atacantes acabaron convenciendo al empleado de Talos para que aceptara un aviso de autenticación multifactor (MFA), lo que les concedió el control total de la cuenta y el acceso a la VPN de la empresa.

Los avisos MFA han sido criticados anteriormente por ser explotables. Un procedimiento reiterado implica que un atacante bombardee el smartphone de un empleado de seguridad con notificaciones push de autorización MFA, a menudo en horas de sueño, esperando que sean aceptadas inadvertidamente, por exasperación o somnolencia.

Una vez dentro de los sistemas de Talos, el atacante utilizó tácticas para mantener su presencia y destruir las pruebas de sus actividades.

Talos expulsó a los atacantes y confirmó que los repetidos intentos de volver a entrar en el entorno a través de los métodos de persistencia desplegados fracasaron.

“El CSIRT y Talos están respondiendo al evento, y no hemos encontrado ninguna evidencia de que el atacante obtuviera acceso a los sistemas internos críticos, como los relacionados con el desarrollo de productos, la firma de código, etc.”, señala la compañía en su blog.

Talos también afirmó que se robaron algunos datos, pero que sólo se trataba del contenido de una carpeta de Box asociada al empleado hackeado, y que no se robaron otros datos.

Talos atribuyó el ataque a un agente de acceso inicial (IAB) asociado a LAPSUS$ y a la banda de ransomware Yanluowang, aunque sin comentar los supuestos datos publicados en el sitio de filtraciones de la web profunda de este último grupo esta semana.

El miércoles por la noche, Yanluowang publicó un archivo de texto en su sitio de filtraciones en línea, en el que afirmaba tener al menos 82 GB de datos. Estos incluían una amplia gama de acuerdos de no divulgación (NDA) aprobados, algunos de los cuales parecían implicar a empleados de Cisco con muchos años de antigüedad. El documento de texto de la organización del ransomware incluía numerosos nombres completos que aparecían en los nombres de los archivos.

Yanluowang contactó inicialmente a BleepingComputer con los archivos que decía haber robado la semana pasada.

En los chats compartidos con el editor, Yanluowang afirmó haber ofrecido a Talos “un muy buen trato” y que si Talos accedía a pagar el rescate, “nadie se enteraría del incidente y de la pérdida de datos”.

El momento del ataque, la filtración de datos por parte de Yanluowang y la publicación de la entrada del blog de Talos han llevado a los expertos a afirmar que los actores de la amenaza “forzaron a Talos” a revelar la información.

Dado que Talos tiene su sede en Estados Unidos, no está obligada a revelar las filtraciones de datos en un plazo determinado, a diferencia de las empresas sujetas a normativas de protección de datos como el GDPR europeo.

Según Symantec, Yanluowang es una operación de ransomware que saltó a la fama en 2021 tras una serie de ataques de ransomware dirigidos a empresas del sector financiero, así como de servicios de TI, consultoría e ingeniería.


Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022