Cisco Hack está vinculado a hackers de língua russa da Evil Corp

Cisco Hacking

Especialistas da eSentire estabeleceram que a infraestrutura usada para hackear a Cisco em maio 2022 foi explorado para comprometer uma empresa de soluções de RH não identificada um mês antes.

Os pesquisadores acreditam que atores maliciosos associados a Corpo do Mal. estão por trás desses incidentes.

Deixe-me lembrá-lo que também dissemos que Cisco Não vou consertar um Vulnerabilidade RCE em roteadores RV antigos.

Deixe-me lembrá-lo que em agosto 2022, Cisco representantes confirmou que em maio, a rede corporativa da empresa foi hackeada pelo Yanluowang grupo extorsionista. Mais tarde, os invasores tentaram extorquir dinheiro da Cisco, de outra forma ameaçando publicar os dados roubados durante o ataque em domínio público. Em seguida, a empresa enfatizou que os hackers conseguiram roubar apenas dados não confidenciais da pasta Box associada à conta do funcionário hackeada..

eFeel analistas agora diga que o ataque poderia ter sido obra de um criminoso conhecido como mx1r. Acredita-se que ele seja membro de um dos “galhos” do conhecido grupo de língua russa Corpo do Mal (também conhecido como UNC2165).

Os pesquisadores escrevem que a rede da vítima foi inicialmente acessada usando credenciais VPN roubadas, e então os atacantes usaram ferramentas prontas para movimento lateral.

Com a ajuda de Golpe de Cobalto, os invasores conseguiram se firmar no sistema. Eles agiram rapidamente desde o momento do acesso inicial até o momento em que conseguiram cadastrar sua própria máquina virtual na rede VPN da vítima.dizem os especialistas.

Os pesquisadores suspeitam da conexão do mx1r com a Evil Corp devido à coincidência de vários invasores’ táticas, Inclusive devido à organização de um ataque kerberoasting ao serviço Active Directory e ao uso de PDR para promoção na rede da empresa.

Ao mesmo tempo, apesar dessas conexões, o HiveStrike infraestrutura utilizada para organizar o ataque geralmente corresponde à infraestrutura de um dos “parceiros” do Conti grupo, que já havia distribuído o Colmeia e Yanluowang ransomware. Esses hackers eventualmente publicaram os dados roubados da Cisco em seu dark web site.

Os próprios representantes da Cisco escreveram que o ataque foi provavelmente “realizado por um invasor que anteriormente era um corretor de acesso inicial e tinha conexões com o UNC2447 grupo de crimes cibernéticos, o Cair grupo, e os operadores de ransomware Yanluowang.”

Essas discrepâncias não parecem incomodar nem um pouco os analistas da eSentire:

Parece improvável (mas não impossível) que Conti está fornecendo sua infraestrutura para a Evil Corp. Mais plausível é que “parceiro” Evil Corp/UNC2165 pode estar trabalhando com uma das novas subsidiárias da Conti. Também é possível que o acesso inicial à rede da empresa tenha sido fornecido por um “parceiro” Corpo do Mal, mas acabou sendo vendido para operadores Hive e entidades relacionadas.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *