Cisco piraté par Yanluowang : Détecter l’activité malveillante pertinente avec le kit de règles Sigma
Table des matières :
Le 10 août 2022, Cisco a officiellement confirmé le piratage de son réseau d’entreprise par le groupe de rançongiciels Yanluowang plus tôt cette année. Le géant de la technologie affirme que l’incident a été signalé en interne le 24 mai et a été examiné plus en profondeur par l’équipe Cisco Security Incident Response (CSIRT).
Cet incident de sécurité chez Cisco a fait les gros titres après que les acteurs de la menace Yanluowang ont divulgué une liste de fichiers volés sur le darknet. Les représentants de l’entreprise affirment que les adversaires n’ont pas pu exfiltrer de données sensibles, ayant seulement acquis des fichiers à partir du dossier Box exposé. Selon la déclaration officielle publiée par Cisco Talos, le vecteur d’attaque initial exploité par le gang Yanluowang était l’échec d’un employé à bloquer les tentatives de phishing des adversaires. En conséquence, les attaques de phishing initiées par le gang Yanluowang ont conduit au détournement réussi d’un compte Google personnel de la victime, au vol d’identifiants synchronisés et à l’accès au VPN Cisco.
Détecter les compromissions liées à Yanluowang
Utilisez l’ensemble de règles qui couvre le comportement des attaquants lié à un récent incident interne de Cisco :
Règles basées sur SIgma pour détecter l’activité adverse
Les détections sont disponibles pour plus de 26 plateformes SIEM, EDR & XDR, alignées avec le cadre MITRE ATT&CK® v.10.
Pour analyser votre environnement à la recherche de potentielles violations basées sur des rançongiciels, les utilisateurs enregistrés peuvent accéder à la liste complète des algorithmes de détection disponibles dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime. Le bouton Detect & Hunt vous donnera accès à plus de 200 000 requêtes de chasse uniques, analyseurs, tableaux de bord prêts pour le SOC, règles Sigma, YARA et Snort, modèles d’apprentissage automatique et playbooks de réponse à incident conçus pour 26 technologies SIEM, EDR et XDR leaders de l’industrie.
Les professionnels de la sécurité sans compte peuvent naviguer dans la collection d’éléments de contenu de détection disponibles via le Cyber Threats Search Engine. Appuyez sur le bouton Explorer le contexte de la menace pour accéder à une boutique unique de contenu SOC organisé.
bouton Detect & Hunt bouton Explorer le contexte de la menace
Groupe de rançongiciels Yanluowang
Le gang de rançongiciels Yanluowang est actif depuis août 2021, attaquant principalement des entreprises basées aux États-Unis. Fait intéressant, la famille de rançongiciels est nommée d’après un personnage mythologique chinois, le dirigeant des enfers. Les TTP associés à cet acteur de la menace indiquent des similitudes avec les approches appropriées par les groupes UNC2447 et Lapsus$ .
Analyse de l’incident de sécurité de Cisco
Il n’est un secret pour personne que les opérateurs de rançongiciels utilisent souvent l’ingénierie sociale comme principal vecteur d’infection. Les acteurs de la menace Yanluowang ont également suivi ce chemin bien tracé pour violer le réseau de Cisco en appliquant des stratégies de phishing afin de tromper une cible. Les adversaires ont lancé plusieurs attaques de phishing vocales se faisant passer pour des organisations légitimes dans le but de duper une victime pour approuver les notifications d’authentification multifactorielle.
Après avoir établi un point d’ancrage sur le système compromis, les attaquants se sont déplacés latéralement sur le réseau, atteignant l’environnement Citrix et obtenant des droits d’administrateur de domaine. Les opérateurs Yanluowang ont utilisé des outils comme secretsdump, ntdsutil et adfind pour la collecte de données. Les preuves suggèrent que les adversaires ont injecté de nombreuses charges utiles malveillantes dans les systèmes compromis.
Les produits ou services Cisco, ainsi que les informations sensibles des employés et des clients, restent sécurisés malgré l’incident, selon la déclaration officielle du fournisseur sur la question. L’équipe CSIRT n’a également confirmé aucun cas de déploiement de rançongiciels dans le cadre de cet incident.
Résistez à une avalanche de menaces de cybersécurité avec les solutions de classe mondiale conçues pour équiper les professionnels du SOC avec les outils et les informations nécessaires pour identifier en temps opportun les menaces potentiellement importantes avant que les attaquants n’établissent des mécanismes de persistance, ne volent des données ou n’injectent des charges utiles. Restez à jour sur la chasse aux menaces avec SOC Prime!
