Cisco Systems confirmó que su red corporativa fue atacada por piratas informáticos que distribuían el ransomware Yanluowang a finales de Mayo.
La compañía pudo observar que los atacantes lograron robar datos no confidenciales asociados con una cuenta comprometida de uno de sus empleados.
Según la fuente, los atacantes pudieron acceder a la red interna de Cisco Systems después de que lograran piratear la cuenta de Google de uno de los empleados.
A través del engaño, pudieron convencer a la víctima de que aceptara la notificación automática de autenticación de múltiples factores, lo que resultó en el acceso a la VPN en el contexto del usuario objetivo.
Después de infiltrarse en la red de Cisco Systems, los atacantes comprometieron varios servidores Citrix y obtuvieron acceso privilegiado a los controladores de dominio.
Después de obtener privilegios de administrador de dominio, recopilaron datos y cargaron software malicioso, incluida una puerta trasera, en los sistemas comprometidos.
Los especialistas de Cisco detectaron la presencia de intrusos en la red interna, luego de lo cual fueron bloqueados.
Al mismo tiempo, la compañía no encontró evidencia de que los piratas informáticos cargaran software de encriptación de datos en los sistemas comprometidos.
Curiosamente, hace unos días uno de los participantes en el ataque a Cisco Systems y aportó pruebas de que los hackers lograron sustraer datos valiosos.
En esa conversación, el ataquente hablaba de alrededor de 2,75 GB de datos robados (alrededor de 3100 archivos), muchos de los cuales eran acuerdos de no divulgación, volcados de datos y diseños de ingeniería.