Son raporlar, Mayıs ayı sonlarında Cisco’nun kurumsal ağına Yanluowang grubundan fidye yazılımı bulaştığını gösteriyor.
Çalınan dosyaları çevrimiçi dünyaya sızdırma tehdidi altında, tehdit aktörü mağdurları finansal bir fedakarlık yapmaları için korkutmaya çalıştı; kısaca fidye.
Güvenliği ihlal edilmiş bir hesaba bağlı bir çalışanın Box klasörüne yalnızca geçici verileri toplamak için saldırganlar erişebiliyordu. Cisco’nun ürünleri veya işi üzerinde herhangi bir etki tespit etmediği belirlendi.
Yakın tarihli bir güvenlik olayında, kötü aktörler, 10 Ağustos’ta karanlık ağdaki olaydan halka geniş bir dosya listesi yayınladı.
Cisco’nun Ağını İhlal Etme
Yanluowang operatörleri, Cisco ağının bir çalışanına ait çalıntı kimlik bilgilerini kullanarak Cisco’nun ağına erişebildi.
İşlem sırasında, çalışanın tarayıcısından senkronize edilen giriş bilgilerini içeren kişisel Google hesabını ele geçirdiler ve hesabı ele geçirdiler.
Bir Cisco çalışanı, saldırgan tarafından MFA için anında iletme bildirimlerini kabul etmesi için kandırıldı. Burada saldırgan, kurbanı manipüle etmek için bir dizi sesli kimlik avı saldırısı ve MFA yorgunluğunu kullandı.
Yanluowang operatörlerinin, şirketin kurumsal ağında bir yer edindikten sonra Citrix sunucularına ve etki alanı denetleyicilerine yayılması uzun sürmedi.
Kullanılan aletler
Daha sonra, etki alanına yönetici erişimi kazandıktan sonra numaralandırma araçlarını kullandılar, örneğin: –
- ntdsutil
- eklemek
- sırlar dökümü
Bu suçluların birincil amacı, güvenliği ihlal edilmiş bilgisayarlardan ek bilgi toplamak ve üzerlerine arka kapılar ve yükleri yüklemektir.
Cisco’nun onları tespit edip ağından kovduğu, ancak tekrar erişim elde etmek için haftalar geçtikçe girişimlerini sürdürdükleri belirtilmelidir.
Tehdit aktörü tarafından sisteme ilk erişim sağlandıktan sonra çok sayıda yasa dışı faaliyet gerçekleştirilmiştir.
Öneriler
Düzeltme sürecinin bir parçası olarak Cisco, olayın etkisini azaltacağı için BT güvenlik ortamlarındaki tüm güvenlik önlemlerini güçlendirdi.
Bununla birlikte, fidye yazılımının herhangi bir gözlemi veya dağıtımı olmamıştır. Olay Cisco tarafından keşfedildi ve keşif gerçekleştiğinden beri girişimler başarıyla engellendi.
Aşağıda Cisco tarafından önerilen tüm güvenlik önlemlerinden bahsettik:-
- MFA’yı etkinleştirdiğinizden emin olun.
- Çalışanlar, bu tür bir olay durumunda kiminle iletişime geçeceği konusunda bilgilendirilmelidir.
- Güçlü cihaz doğrulaması sağlamak için cihaz durumu etrafında daha sıkı kontroller uygulayın.
- Yönetilmeyen veya bilinmeyen cihazlar, kayıt ve erişimden kısıtlanmalı veya engellenmelidir.
- Uzak uç noktalardan VPN bağlantılarını etkinleştirmeden önce duruş denetimini etkinleştirerek temel güvenlik denetimleri kümesini zorunlu kılın.
- Bir diğer önemli güvenlik kontrolü, ağın segmentasyonudur.
- Günlüklerin toplanması merkezileştirilmelidir.
- Çevrimdışı bir yedekleme stratejisini sürdürmek ve yedeklemeleri periyodik olarak test etmek önemlidir.
- Uç noktalarda komut satırlarının yürütülmesine ilişkin bir inceleme yapılması önerilir.
Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Teknik incelemeyi indirin