Cisco hackeado por Yanluowang: Detectar actividad maliciosa relevante con el kit de reglas Sigma

[post-views]
agosto 11, 2022 · 4 min de lectura
Cisco hackeado por Yanluowang: Detectar actividad maliciosa relevante con el kit de reglas Sigma

El 10 de agosto de 2022, Cisco confirmó oficialmente el hackeo a su red corporativa por parte del grupo de ransomware Yanluowang a principios de este año. El gigante tecnológico afirma que la brecha fue reportada internamente el 24 de mayo y fue investigada más a fondo por el equipo de Respuesta a Incidentes de Seguridad de Cisco (CSIRT).

Este incidente de seguridad de Cisco apareció en los titulares después de que los actores de la amenaza Yanluowang filtraran una lista de archivos robados en la darknet. Los representantes de la compañía afirman que los adversarios no pudieron exfiltrar datos sensibles, habiendo adquirido solo archivos de la carpeta expuesta de Box. Según el comunicado oficial emitido por Cisco Talos, el vector de ataque inicial explotado por la banda Yanluowang fue el fallo de un empleado en bloquear los intentos de phishing de los adversarios. Como resultado, los ataques de phishing iniciados por la banda Yanluowang llevaron al secuestro exitoso de la cuenta personal de Google de una víctima, robando credenciales sincronizadas y accediendo al VPN de Cisco.

Detectar Compromisos Relacionados con Yanluowang

Utilice el paquete de reglas que cubre el comportamiento de los atacantes relacionado con un reciente incidente interno de Cisco:

Reglas basadas en Sigma para detectar actividad adversa

Las detecciones están disponibles para más de 26 plataformas SIEM, EDR y XDR, alineadas con el marco MITRE ATT&CK® v.10.

Para escanear su entorno en busca de posibles brechas basadas en ransomware, los usuarios registrados pueden acceder a la lista completa de algoritmos de detección disponibles en el repositorio del Mercado de Detección de Amenazas de la Plataforma SOC Prime. El Detectar y Cazar botón le proporcionará acceso a más de 200,000 consultas de caza únicas, analizadores, dashboards listos para SOC, reglas curadas de Sigma, YARA y Snort, modelos de Aprendizaje Automático y Libros de Respuesta a Incidentes adaptados a 26 tecnologías líderes en SIEM, EDR y XDR.

Los profesionales de seguridad sin cuenta pueden navegar por la colección de elementos de contenido de detección disponibles a través del Motor de Búsqueda de Amenazas Cibernéticas. Presione el Explorar Contexto de Amenazas botón para acceder a una tienda única de contenido SOC curado.

Detectar y Cazar Explorar Contexto de Amenazas

Grupo de Ransomware Yanluowang

La banda de ransomware Yanluowang ha estado activa desde agosto de 2021, atacando predominantemente a corporaciones con sede en Estados Unidos. Curiosamente, la familia del ransomware lleva el nombre de un personaje mitológico chino, el gobernante del inframundo. Las TTP asociadas con este actor de amenazas indican similitudes con los enfoques apropiados por UNC2447 y grupos de Lapsus$ .

Análisis del Incidente de Seguridad de Cisco

No es un secreto que los operadores de ransomware a menudo utilizan la ingeniería social como el vector de infección principal. Los actores de la amenaza Yanluowang también tomaron el camino conocido para violar la red de Cisco aplicando estrategias de phishing para engañar a un objetivo. Los adversarios lanzaron múltiples ataques de phishing de voz haciéndose pasar por organizaciones legítimas con el objetivo de engañar a una víctima para aprobar notificaciones de autenticación multifactor.

Al establecer un punto de apoyo en el sistema violado, los atacantes se movieron lateralmente alrededor de la red, alcanzando el entorno de Citrix y obteniendo derechos de administrador del dominio. Los operadores de Yanluowang emplearon herramientas como secretsdump, ntdsutil y adfind para la recolección de datos. La evidencia sugiere que los adversarios inyectaron numerosas cargas maliciosas en los sistemas comprometidos.

Los productos o servicios de Cisco, así como la información sensible de empleados y clientes, permanecen seguros a pesar del incidente, lee la declaración oficial del proveedor sobre el tema. El equipo CSIRT tampoco confirmó ninguna instancia de despliegue de ransomware dentro del marco de este incidente.

Resistir una avalancha de amenazas cibernéticas con soluciones de primera clase diseñadas para equipar a los profesionales del SOC con las herramientas y la información para identificar oportunamente amenazas potencialmente de alto perfil antes de que los atacantes establezcan mecanismos de persistencia, roben datos o inyecten cargas útiles. Manténgase al día en la caza de amenazas con SOC Prime!

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix 4 min de lectura Últimas Amenazas Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix by Veronika Telychko Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix 4 min de lectura Últimas Amenazas Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix by Veronika Telychko Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux 5 min de lectura Últimas Amenazas Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux by Veronika Telychko
Todas las noticias