A Cisco diz que as credenciais de um empregado foram comprometidas depois de um atacante ter obtido o controlo de uma conta pessoal no Google.
Por Michael Hill
TI, redes, e soluções de cibersegurança. O gigante Cisco admitiu ter sofrido um incidente de segurança visando a sua infraestrutura de TI empresarial no final de maio de 2022. A 10 de agosto, a empresa declarou que as credenciais de um empregado foram comprometidas após um agressor ter obtido o controlo de uma conta pessoal no Google, onde as credenciais guardadas no navegador da vítima estavam a ser sincronizadas. Eles publicaram uma lista de ficheiros deste incidente de segurança para a Darkweb, acrescentou Cisco.
“O incidente foi contido no ambiente informático da empresa e a Cisco não identificou qualquer impacto em quaisquer produtos ou serviços da Cisco, dados sensíveis de clientes ou informações de empregados, propriedade intelectual da Cisco, ou operações da cadeia de fornecimento”, disse a empresa. A Cisco alegou ter tomado medidas imediatas para conter e erradicar o interveniente, que ligou ao grupo de ameaça LAPSUS$. Disse também que tomou a decisão de anunciar publicamente o incidente agora, uma vez que anteriormente recolhia ativamente informações sobre o mesmo para ajudar a proteger a comunidade de segurança.
Atacante usou táticas “sofisticadas de phishing vocal”
Num resumo executivo do incidente, a Cisco Security Incident Response (CSIRT) e o grupo inteligente de cibersegurança da empresa Cisco Talos escreveram: “O atacante conduziu uma série de sofisticados ataques de phishing de voz sob o disfarce de várias organizações de confiança, tentando convencer a vítima a aceitar autenticação multi-fator (MFA) de notificações iniciadas pelo atacante. O atacante acabou por conseguir obter uma aceitação MFA, concedendo-lhes acesso à VPN no contexto do utilizador visado”.
A CSIRT e o Talos não identificaram quaisquer provas que sugerissem que o atacante obteve acesso a sistemas internos críticos, tais como os relacionados com o desenvolvimento de produtos e assinatura de código, acrescentaram eles. Após a obtenção do acesso inicial, o autor da ameaça conduziu atividades para manter o acesso, minimizar artefactos forenses e aumentar o seu nível de acesso a sistemas dentro do ambiente. “Ao longo do ataque, observámos tentativas de exfiltração de informação do ambiente”, continuou Cisco, confirmando que a única exfiltração de dados bem-sucedida que ocorreu durante o ataque incluía o conteúdo de uma pasta que estava associada à conta do empregado comprometido e dados de autenticação do empregado do diretório ativo. “Os dados obtidos neste caso não eram sensíveis. O ator da ameaça foi removido com sucesso do ambiente e demonstrou persistência, tentando repetidamente recuperar o acesso nas semanas que se seguiram ao ataque. Contudo, estas tentativas não foram bem-sucedidas”. O adversário tentou repetidamente estabelecer comunicações por correio eletrónico com membros executivos da organização, mas não fez quaisquer ameaças específicas ou exigências de extorsão.
Ataque ligado ao grupo de ameaça LAPSUS$
A Cisco avaliou com “confiança moderada a alta” que este ataque foi conduzido por um adversário previamente identificado como um corretor de acesso inicial (IAB) com ligações ao bando de cibercrime UNC2447, grupo de atores de ameaça LAPSUS$, e operadores de resgate Yanluowang. “Alguns dos TTPs descobertos durante a nossa investigação correspondem aos do LAPSUS$…um grupo de atores de ameaça que se diz ter sido responsável por várias violações anteriores notáveis de ambientes empresariais. O UNC2447 é um ator de ameaças financeiramente motivado com ligação à Rússia que foi anteriormente observado conduzindo ataques de resgate e aproveitando uma técnica conhecida como “dupla extorsão”, na qual os dados são exfiltrados antes do envio de resgates para coagir as vítimas a pagarem pedidos de resgate. Relatórios anteriores indicam que a UNC2447 foi observada a operar uma variedade de resgates, incluindo FIVEHANDS, HELLOKITTY, e muito mais”.
No entanto, a Cisco declarou que não foi observado ou implantado qualquer programa de resgate no ataque. “Cada incidente de cibersegurança é uma oportunidade para aprender, reforçar a nossa resiliência e ajudar a comunidade de segurança em geral. A Cisco atualizou os seus produtos de segurança com informações obtidas através da observação das técnicas do autor, indicadores partilhados de compromisso (COI) com outras partes, e chegou às forças da lei e a outros parceiros”, afirmou. A Cisco implementou uma palavra-passe a nível de toda a empresa, após tomar conhecimento do incidente.
Reforçar a AMF, a verificação dos dispositivos e a segmentação da rede para mitigar os riscos
A Cisco aconselhou as organizações a tomar medidas para mitigar os riscos associados a este incidente, incluindo o reforço da AMF, verificação de dispositivos, e segmentação da rede. “Dado que o atacante demonstrou proficiência na utilização de uma vasta gama de técnicas para obter acesso inicial, a educação do utilizador é também uma parte fundamental na luta contra as técnicas de desvio da AMF. Igualmente importante para a implementação da AMF é assegurar que os funcionários sejam instruídos sobre o que fazer e como responder se receberem pedidos nos seus respetivos telefones. É também essencial educar os funcionários sobre quem contactar se tais incidentes surgirem para ajudar a determinar se o evento foi um problema técnico ou malicioso”.
É benéfico implementar uma forte verificação de dispositivos, impondo controlos mais rigorosos em torno do estado do dispositivo para limitar ou bloquear a inscrição e o acesso a partir de dispositivos não geridos ou desconhecidos, acrescentou a Cisco. A segmentação da rede é outro controlo de segurança importante que as organizações devem empregar, uma vez que proporciona maior proteção para bens de alto valor e permite capacidades de deteção e resposta mais eficazes em situações em que um adversário é capaz de obter acesso inicial ao ambiente, disse a empresa.
“A recolha centralizada de registos pode ajudar a minimizar a falta de visibilidade que resulta quando um atacante toma medidas ativas para remover registos dos sistemas. A garantia de que os dados de registo gerados pelos pontos terminais são recolhidos centralmente e analisados em relação a comportamentos anómalos ou manifestamente maliciosos pode fornecer uma indicação antecipada quando um ataque está em curso”.