Hack de Cisco está vinculado a hackers de habla rusa de Evil Corp

Cisco Hacking

Expertos de eSentire establecieron que la infraestructura utilizada para hackear Cisco en mayo 2022 fue explotado para comprometer a una empresa de soluciones de recursos humanos no identificada un mes antes.

Los investigadores creen que los actores maliciosos asociados con Corporación malvada. están detrás de estos incidentes.

Déjame recordarte que también dijimos que cisco No arreglará un Vulnerabilidad de RCE en enrutadores antiguos para vehículos recreativos.

Déjame recordarte que en agosto 2022, cisco representantes confirmó que en mayo, La red corporativa de la empresa fue pirateada por el Yanluowang grupo extorsionador. Más tarde, Los atacantes intentaron extorsionar a Cisco., amenazar con publicar los datos robados durante el ataque en el dominio público. Luego, la empresa enfatizó que los piratas informáticos lograron robar solo datos no confidenciales de la carpeta Box asociada con la cuenta del empleado pirateada..

eSentir analistas Ahora di que el ataque pudo haber sido obra de un delincuente conocido como mx1r. Se cree que es miembro de uno de los «sucursales» del conocido grupo de habla rusa Corporación malvada (alias UNC2165).

Los investigadores escriben que inicialmente se accedió a la red de la víctima utilizando credenciales de VPN robadas., y luego los atacantes utilizaron herramientas preparadas para el movimiento lateral.

Con la ayuda de Golpe de cobalto, los atacantes pudieron hacerse un hueco en el sistema. Actuaron rápidamente desde el momento del acceso inicial hasta el momento en que pudieron registrar su propia máquina virtual en la red VPN de la víctima..los expertos dicen.

Los investigadores sospechan de la conexión de mx1r con Evil Corp debido a la coincidencia de varios atacantes’ táctica, Incluso debido a la organización de un ataque kerberoasting al servicio Active Directory y al uso de PDR para promoción en la red de la empresa.

Al mismo tiempo, a pesar de estas conexiones, el colmenastrike La infraestructura utilizada para organizar el ataque generalmente corresponde a la infraestructura de uno de los «socios» del conti grupo, que previamente había distribuido el Colmena y Yanluowang Secuestro de datos. Estos piratas informáticos finalmente publicaron los datos robados de Cisco en su sitio web oscuro..

Los propios representantes de Cisco escribieron que el ataque probablemente fue “llevado a cabo por un atacante que anteriormente era un intermediario de acceso inicial y tenía conexiones con el UNC2447 grupo de cibercrimen, el Caer grupo, y los operadores de ransomware Yanluowang”.

Estas discrepancias no parecen molestar en lo más mínimo a los analistas de eSentire:

No parece probable (pero no imposible) que Conti está proporcionando su infraestructura a Evil Corp. Más plausible es que «pareja» Evil Corp/UNC2165 puede estar trabajando con una de las nuevas filiales de Conti. También es posible que el acceso inicial a la red de la empresa fuera proporcionado por un «pareja» Corporación malvada, pero finalmente se vendió a operadores de Hive y entidades relacionadas..

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *