Cisco violato da Yanluowang: Rileva attività dannosa rilevante con il kit di regole Sigma
Indice:
Il 10 agosto 2022, Cisco ha ufficialmente confermato l’hack della sua rete aziendale da parte del gruppo ransomware Yanluowang all’inizio di quest’anno. Il gigante tecnologico afferma che la violazione è stata segnalata internamente il 24 maggio ed è stata ulteriormente investigata dal team Cisco Security Incident Response (CSIRT).
Questo incidente di sicurezza di Cisco ha fatto notizia dopo che gli attori della minaccia Yanluowang hanno pubblicato un elenco di file rubati sul darknet. I rappresentanti dell’azienda affermano che gli avversari non sono stati in grado di esfiltrare dati sensibili, avendo acquisito solo file dalla cartella Box esposta. Secondo la dichiarazione ufficiale rilasciata da Cisco Talos, il vettore di attacco iniziale sfruttato dalla banda Yanluowang è stato il fallimento di un dipendente nel bloccare i tentativi di phishing degli avversari. Di conseguenza, gli attacchi di phishing avviati dalla banda Yanluowang hanno portato al dirottamento riuscito dell’account personale Google di una vittima, rubato credenziali sincronizzate e accesso a Cisco VPN.
Rilevare compromissioni legate a Yanluowang
Usa il pacchetto di regole che coprono il comportamento degli attaccanti correlato a un recente incidente interno di Cisco:
Regole basate su Sigma per rilevare attività avverse
Le rilevazioni sono disponibili per oltre 26 piattaforme SIEM, EDR & XDR, allineate con il framework MITRE ATT&CK® v.10.
Per scansionare il tuo ambiente alla ricerca di possibili violazioni basate su ransomware, gli utenti registrati possono accedere all’elenco completo degli algoritmi di rilevazione disponibili nel repository della piattaforma Threat Detection Marketplace di SOC Prime. Il Rileva & Caccia fornirà accesso a oltre 200.000 query di caccia uniche, parser, dashboard pronti per il SOC, regole curate Sigma, YARA e Snort, modelli di Machine Learning e playbook di risposta agli incidenti su misura per 26 tecnologie leader SIEM, EDR e XDR.
I professionisti della sicurezza senza un account possono navigare nella raccolta di elementi di contenuto di rilevazione disponibili tramite il motore di ricerca delle minacce informatiche. Premi il Esplora Contesto delle Minacce per accedere a un negozio unico di contenuti SOC curati.
Rileva & Caccia Esplora Contesto delle Minacce
Gruppo Ransomware Yanluowang
La banda di ransomware Yanluowang è attiva dall’agosto 2021, attaccando prevalentemente corporazioni con sede negli Stati Uniti. Interessante, la famiglia di ransomware prende il nome da un personaggio mitologico cinese, il sovrano dell’oltretomba. Le TTP associate a questo attore di minaccia indicano somiglianze con gli approcci appropriati da UNC2447 e i gruppi Lapsus$ .
Analisi dell’incidente di sicurezza di Cisco
Non è un segreto che gli operatori di ransomware spesso utilizzino l’ingegneria sociale come principale vettore di infezione. Anche gli attori della minaccia Yanluowang hanno percorso il sentiero ben battuto per violare la rete di Cisco applicando strategie di phishing per ingannare un obiettivo. Gli avversari hanno lanciato molteplici attacchi di phishing vocale camuffati da organizzazioni legittime con l’obiettivo di indurre una vittima ad approvare notifiche di autenticazione multi-fattore.
Una volta stabilito un punto d’appoggio sul sistema violato, gli attaccanti si sono spostati lateralmente nella rete, raggiungendo l’ambiente Citrix e ottenendo diritti di amministratore del dominio. Gli operatori di Yanluowang hanno impiegato strumenti come secretsdump, ntdsutil e adfind per il raccolto dei dati. Le prove suggeriscono che gli avversari hanno iniettato numerosi payload malevoli nei sistemi compromessi.
I prodotti o servizi Cisco, nonché le informazioni sensibili di dipendenti e clienti, rimangono sicuri nonostante l’incidente, si legge nella dichiarazione ufficiale del fornitore sull’argomento. Anche il team CSIRT non ha confermato alcuna istanza di distribuzione di ransomware all’interno dei quadri di questo incidente.
Resisti a una valanga di minacce informatiche con le soluzioni di classe migliore progettate per dotare i professionisti del SOC degli strumenti e delle intuizioni per identificare tempestivamente potenziali minacce di alto profilo prima che gli attaccanti impostino meccanismi di persistenza, rubino dati o iniettino payload. Rimani aggiornato sulla caccia alle minacce con SOC Prime!
