Cisco Systems Inc. a déclaré avoir été victime d'une cyberattaque au cours de laquelle un pirate informatique a tenté à plusieurs reprises d'accéder au réseau d'entreprise de la société de la Silicon Valley.

Cisco a déclaré avoir pris connaissance d'un compromis potentiel le 24 mai et l'a divulgué mercredi après que le pirate informatique eut divulgué une liste des fichiers qu'il avait volés sur le dark web.

Une enquête a déterminé que le pirate informatique avait pénétré dans le réseau de Cisco en piratant le compte Google personnel d'un employé, qui synchronisait ses mots de passe enregistrés sur le Web, a déclaré la société basée à San Jose, en Californie, dans un article de blog publié mercredi. L'attaquant a ensuite fait semblant d'être des organisations de confiance lors d'appels téléphoniques avec l'employé et a réussi à persuader l'employé d'accepter une notification d'authentification push multifacteur sur son appareil. Cela a permis au pirate d'accéder au réseau de Cisco en utilisant les informations d'identification de l'employé.

Cisco n'avait "identifié aucune preuve suggérant que l'attaquant ait eu accès à des systèmes internes critiques, tels que ceux liés au développement de produits, à la signature de code, etc.", selon le blog. "La seule exfiltration de données réussie qui s'est produite lors de l'attaque comprenait le contenu d'un dossier Box associé au compte d'un employé compromis. Les données obtenues par l'adversaire dans ce cas n'étaient pas sensibles."

Les enquêteurs ont déclaré qu'ils pensaient que l'attaque avait été menée par un adversaire qui avait déjà été identifié comme un courtier d'accès initial pour plusieurs groupes notoires de cybercriminalité :UNC2447, Lapsus$ et les opérateurs de rançongiciels Yanluowang. Les courtiers d'accès initiaux tentent d'obtenir un accès privilégié aux réseaux informatiques d'entreprise, puis le vendent à d'autres pirates.

UNC2447 est un "groupe agressif à motivation financière" qui a ciblé des organisations avec des ransomwares en Europe et en Amérique du Nord, a conclu la société de cybersécurité Mandiant l'année dernière. Yanluowang, du nom d'une divinité chinoise, est une variante de ransomware qui est utilisée contre les entreprises américaines depuis août 2021, selon Symantec. Le groupe Lapsus$ a été accusé d'avoir lancé une série d'attaques très médiatisées contre des entreprises technologiques telles que Okta Inc., Microsoft Corp. et Nvidia Corp.

Bloomberg News a rapporté que le cerveau présumé était un adolescent britannique de 16 ans vivant chez sa mère.

Cisco a déclaré avoir trouvé des preuves que le pirate se préparait à chiffrer des fichiers mais qu'il n'avait pas réussi à le faire avant qu'ils ne soient détectés et démarrés. Il y a eu des tentatives répétées pour retrouver l'accès après l'expulsion de l'attaque, selon Cisco.

Le piratage avait déjà été signalé par Bleeping Computer. + Explorer plus loin

Okta nie la violation de données après que des pirates ont affirmé avoir eu accès à des informations internes

2022 Bloomberg L.P.
Distribué par Tribune Content Agency, LLC.