Cisco Hacked by Yanluowang: Detect Relevant Malicious Activity With Sigma Rules Kit

[post-views]
Agosto 11, 2022 · 4 min de leitura
Cisco Hacked by Yanluowang: Detect Relevant Malicious Activity With Sigma Rules Kit

Em 10 de agosto de 2022, Cisco confirmou oficialmente a invasão de sua rede corporativa pelo grupo de ransomware Yanluowang no início deste ano. O gigante da tecnologia afirma que a violação foi relatada internamente no dia 24 de maio e foi posteriormente investigada pela equipe de Resposta a Incidentes de Segurança da Cisco (CSIRT).

Este incidente de segurança da Cisco ganhou as manchetes após os atores da ameaça Yanluowang vazarem uma lista de arquivos roubados na darknet. Os representantes da empresa afirmam que os adversários não conseguiram extrair dados sensíveis, tendo apenas adquirido arquivos da pasta Box exposta. De acordo com o comunicado oficial divulgado pela Cisco Talos, o vetor de ataque inicial explorado pela gangue Yanluowang foi a falha de um funcionário em bloquear as tentativas de phishing dos adversários. Como resultado, ataques de phishing iniciados pela gangue Yanluowang levaram ao sequestro bem-sucedido da conta pessoal do Google de uma vítima, roubando credenciais sincronizadas e acessando o VPN da Cisco.

Detectar Comprometimentos Relacionados a Yanluowang

Use o conjunto de regras que cobrem o comportamento dos atacantes relacionado a um recente incidente interno da Cisco:

Regras baseadas em Sigma para detectar atividades adversas

As detecções estão disponíveis para mais de 26 plataformas SIEM, EDR & XDR, alinhadas ao MITRE ATT&CK® framework v.10.

Para escanear seu ambiente em busca de possíveis violações baseadas em ransomware, usuários registrados podem acessar a lista completa de algoritmos de detecção disponível no repositório Threat Detection Marketplace da plataforma SOC Prime. O botão Detectar & Caçar lhe dará acesso a mais de 200.000 consultas únicas de caça, parsers, painéis prontos para SOC, regras curadas Sigma, YARA e Snort, modelos de Machine Learning e Playbooks de Resposta a Incidentes adaptados para 26 tecnologias líderes de mercado em SIEM, EDR e XDR.

Os profissionais de segurança sem uma conta podem navegar na coleção de itens de conteúdo de detecção disponíveis através do Motor de Busca de Ameaças Cibernéticas. Pressione o botão Explorar Contexto de Ameaças para acessar uma loja completa de conteúdo SOC curado.

Detectar & Caçar Explorar Contexto de Ameaças

Grupo de Ransomware Yanluowang

A gangue de ransomware Yanluowang está ativa desde agosto de 2021, atacando predominantemente corporações baseadas nos EUA. Curiosamente, a família de ransomware é nomeada em homenagem a um personagem mitológico chinês, o governante do submundo. As TTPs associadas a este ator de ameaça indicam semelhanças com abordagens apropriadas pela UNC2447 e grupos Lapsus$ .

Análise do Incidente de Segurança da Cisco

Não é segredo que os operadores de ransomware costumam usar engenharia social como o vetor de infecção primário. Os atores da ameaça Yanluowang também seguiram o caminho bem trilhado para violar a rede da Cisco aplicando estratégias de phishing para enganar um alvo. Os adversários lançaram múltiplos ataques de phishing por voz se passando por organizações legítimas com o objetivo de enganar uma vítima a aprovar notificações de autenticação multifatora.

Após estabelecer uma posição no sistema violado, os invasores moveram-se lateralmente pela rede, alcançando o ambiente Citrix e obtendo direitos de administrador de domínio. Os operadores Yanluowang empregaram ferramentas como secretsdump, ntdsutil e adfind para coleta de dados. As evidências sugerem que os adversários injetaram várias cargas maliciosas em sistemas comprometidos.

Os produtos ou serviços da Cisco, bem como informações sensíveis de funcionários e clientes, permanecem seguros apesar do incidente, conforme lê-se na declaração oficial do fornecedor sobre o assunto. A equipe CSIRT também não confirmou nenhum caso de implantação de ransomware dentro do contexto deste incidente.

Resista a uma avalanche de ameaças cibernéticas com as soluções de melhor em classe, projetadas para equipar profissionais de SOC com as ferramentas e o insight para identificar tempestivamente ameaças potencialmente de alto perfil antes que os atacantes estabeleçam mecanismos de persistência, roubem dados ou injetem cargas. Mantenha-se atualizado sobre caça a ameaças com SOC Prime!

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix 5 min de leitura Ameaças Mais Recentes Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix by Veronika Telychko Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix 5 min de leitura Ameaças Mais Recentes Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix by Veronika Telychko Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux 6 min de leitura Ameaças Mais Recentes Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux by Veronika Telychko
Todas as notícias