2022年8月10日,思科确认烟洛网勒索病毒团伙于今年5月下旬侵入公司网络,攻击者试图以泄露数据相威胁索要赎金窃取的数据。对此,思科发言人表示,攻击者只能从与受感染员工账户关联的Box文件夹中获取和窃取非敏感数据,并称公司及时采取了相应措施对其进行遏制。“思科并不知道此事件对我们的业务有任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。该公司的文件列表已发布到暗网上。但思科采取了额外的措施来保护系统并共享技术细节,以帮助保护更广泛的安全社区。”来自Yanluowang到Cisco的电子邮件在他们的浏览器中,犯罪者使用员工窃取的凭据来访问思科的网络。然后,攻击者推送多因素身份验证(MFA)以说服员工接受通知,并发起一系列复杂的语音网络钓鱼攻击,冒充受信任的支持人员最终,攻击者诱使受害者接受其中一个MFA通知,并在目标用户的上下文中获得对VPN的访问权限。一旦他们在公司的企业网络上站稳脚跟,燕罗网运营商便会扩展到思科服务器和域控制器。获得域管理员权限后例如,他们使用ntdsutil、adfind和secretsdump等枚举工具来收集更多信息,并在受感染的系统上安装了一系列有效负载,包括后门程序。获得初始访问权限后,攻击者会进行各种活动来维护访问权限、最大限度地减少取证并提高他们对环境中系统的访问级别。虽然思科检测到攻击并将其从环境中驱逐,但Yanluowang在接下来的几周内尝试重新获得访问权限,但未成功。黑客声称窃取了思科的数据尽管思科一再强调,烟洛网勒索软件团伙在攻击过程中并未在其网络中部署任何勒索软件。Talos专家在报告中指出:“我们没有观察到此次攻击中的勒索软件部署,但所使用的TTP与‘勒索软件前活动’一致,这通常是在受害者环境中部署勒索软件之前观察到的。”活动。观察到的许多TTP与CTIR在之前的交战中观察到的活动一致。我们的分析还建议重用与这些先前约定相关的服务器端基础设施。在之前的活动中,我们也没有观察到勒索软件在受害者环境中的部署。“但攻击者声称从大约3,100个文件中窃取了2.75GB的数据,其中许多与保密协议、数据转储和工程图纸有关。此外,攻击者还发布了NDA文件的编辑副本,作为证据攻击并“暗示”他们破坏了思科的网络并泄露了文件。
