Expertos de eSentire establecieron que la infraestructura utilizada para hackear Cisco en mayo 2022 fue explotado para comprometer a una empresa de soluciones de recursos humanos no identificada un mes antes.
Los investigadores creen que los actores maliciosos asociados con Corporación malvada. están detrás de estos incidentes.
Déjame recordarte que también dijimos que cisco No arreglará un Vulnerabilidad de RCE en enrutadores antiguos para vehículos recreativos.
Déjame recordarte que en agosto 2022, cisco representantes confirmó que en mayo, La red corporativa de la empresa fue pirateada por el Yanluowang grupo extorsionador. Más tarde, Los atacantes intentaron extorsionar a Cisco., amenazar con publicar los datos robados durante el ataque en el dominio público. Luego, la empresa enfatizó que los piratas informáticos lograron robar solo datos no confidenciales de la carpeta Box asociada con la cuenta del empleado pirateada..
eSentir analistas Ahora di que el ataque pudo haber sido obra de un delincuente conocido como mx1r. Se cree que es miembro de uno de los «sucursales» del conocido grupo de habla rusa Corporación malvada (alias UNC2165).
Los investigadores escriben que inicialmente se accedió a la red de la víctima utilizando credenciales de VPN robadas., y luego los atacantes utilizaron herramientas preparadas para el movimiento lateral.
Los investigadores sospechan de la conexión de mx1r con Evil Corp debido a la coincidencia de varios atacantes’ táctica, Incluso debido a la organización de un ataque kerberoasting al servicio Active Directory y al uso de PDR para promoción en la red de la empresa.
Al mismo tiempo, a pesar de estas conexiones, el colmenastrike La infraestructura utilizada para organizar el ataque generalmente corresponde a la infraestructura de uno de los «socios» del conti grupo, que previamente había distribuido el Colmena y Yanluowang Secuestro de datos. Estos piratas informáticos finalmente publicaron los datos robados de Cisco en su sitio web oscuro..
Los propios representantes de Cisco escribieron que el ataque probablemente fue “llevado a cabo por un atacante que anteriormente era un intermediario de acceso inicial y tenía conexiones con el UNC2447 grupo de cibercrimen, el Caer grupo, y los operadores de ransomware Yanluowang”.
Estas discrepancias no parecen molestar en lo más mínimo a los analistas de eSentire: