Ransomware-Gruppe Yangluowang

Cisco bestätigt Datendiebstahl - gibt aber Entwarnung

Uhr
von Adrian Oberer und cka

Der Netzwerkausrüster Cisco bestätigt, dass sich eine Gruppe Cyberkrimineller im Mai Zugang zum Unternehmensnetzwerk verschaffte. Bei dem Angriff sind laut dem Unternehmen aber keine sensiblen Daten gestohlen worden.

(Source: shutterstock)
(Source: shutterstock)

Cyberkriminelle haben sich im Mai 2022 Zugang zum Unternehmensnetzwerk von Cisco verschafft. Dies bestätigte der US-amerikanische Netzwerkausrüster am 10. August. Die für den Angriff verantwortliche Ransomware-Gruppe versucht nun das Unternehmen mit den beim Angriff gestohlenen Daten zu erpressen, wie "The Register" berichtet. Cisco selbst gebe derweil Entwarnung - die Angreifer hätten lediglich nicht sensible Daten aus einem Box-Cloud-Ordner, der mit dem Konto eines angegriffenen Mitarbeiters verknüpft war, gestohlen.

Der Vorfall habe keine Auswirkungen auf das Geschäft des Unternehmens gehabt. Die Produkte, Dienstleistungen und Lieferkettenabläufe seien nicht betroffen gewesen. Auch seien die Cyberkriminellen nicht an sensible Kunden- oder Mitarbeiterdaten sowie geistiges Eigentum von Cisco gelangt, teilt das Unternehmen mit. Trotzdem lanciere Cisco Massnahmen, um die Sicherheit der eigenen Systeme zu verbessern - als Sofortmassnahme setzte das Unternehmen firmenweit alle Passwörter zurück. Das schreibt der Netzwerkspezialist in einem Blogbeitrag, in dem er auch weitere technische Details zum Angriff teilt.

Die cyberkriminelle Gruppierung Yangluowang behauptet, 2,75 Gigabyte an Daten gestohlen zu haben. Bei vielen dieser Dateien handle es sich gemäss der Ransomware-Bande um Vertraulichkeitsvereinbarungen, Daten-Dumps und technische Zeichnungen.

Anmeldedaten eines Mitarbeitenden gestohlen

Um ins Netzwerk des Unternehmens einzudringen, habe die Ransomware-Gruppe zuerst den privaten Google-Account eines Mitarbeitenden gekapert und so über die Browser-Synchronisation dessen Anmeldedaten gestohlen. Danach sendeten die Angreifer laut "Bleepingcomputer" solange Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA), bis der Mitarbeitende schliesslich eine MFA-Anfrage akzeptierte. Es handle sich dabei um eine als "MFA fatigue" bekannte Methode - oder zu Deutsch "MFA-Ermüdung". Eine Reihe von Voice-Phishing-Angriffen seien dagegen erfolglos geblieben.

Sobald die Täter im Unternehmensnetzwerk Fuss gefasst hatten, breiteten sie laut Bleepingcomputer sich auf Citrix-Server und Domänencontroller aus. Nachdem sie die Domänenverwaltung erlangt hatten, nutzten sie Tools wie ntdsutil, adfind und secretsdump, um weitere Informationen zu sammeln. Ebenso installierten die Cyberkriminellen eine Reihe von Malware auf den kompromittierten Systemen, einschliesslich einer Backdoor. Letztendlich seien sie von Cisco entdeckt und aus der Umgebung entfernt worden - versuchten aber in den folgenden Wochen erfolglos, sich erneut Zugang zu verschaffen. Obwohl die Yangluowang-Gruppe eigentlich für Ransomware-Angriffe bekannt ist - die mit den Kollektiven "UNC2447" und "Lapsus$" in Verbindung gebracht wird - seien bei dem Angriff keine Dateien verschlüsselt worden.

Übrigens: Cisco meldet 3 Schwachstellen in Small-Business-Routern, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_264191

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter