Ransomwaregroep publiceert bij Cisco gestolen bedrijfsgegevens

[Captain Kirk]

Een groep ransomwarecriminelen die wist in te breken op systemen van Cisco heeft de daarbij gestolen bestanden openbaar gemaakt, zo heeft de netwerkgigant bekendgemaakt. Het zou onder andere om geheimhoudingsverklaringen van het bedrijf gaan. Volgens Cisco laat het incident zien dat organisaties hun personeel goed over het gebruik van multifactorauthenticatie (MFA) moeten onderwijzen.

De aanval vond eind mei plaats, maar werd pas vorige maand door Cisco naar buiten gebracht. De aanvaller wist via het persoonlijke Google-account van een Cisco-medewerker toegang tot het Cisco-vpn te krijgen. Deze medewerker had wachtwoordsynchronisatie via Google Chrome ingesteld en zijn Cisco-inloggegevens in de browser opgeslagen. Daardoor werden deze gegevens met het Google-account gesynchroniseerd. Hoe het account van de medewerker kon worden gecompromitteerd heeft Cisco niet laten weten.

Het vpn van Cisco was ook beveiligd met multifactorauthenticatie, waardoor de aanvaller aan alleen de buitgemaakte inloggegevens niet voldoende had. Om dit obstakel te omzeilen maakte de aanvaller gebruik van verschillende methodes, waaronder telefonische phishing en “MFA fatigue”, waarbij een doelwit wordt bestookt met pushnotificaties op de telefoon om de inlogpogingen van de aanvaller goed te keuren.

Nadat de aanvaller toegang had verkregen wist die verschillende eigen systemen voor de multifactorauthenticatie aan te melden en kon zo succesvol op het Cisco-vpn inloggen. De aanvaller wist vervolgens adminrechten te krijgen, waardoor hij tot meerdere Cisco-systemen toegang kreeg. Dit veroorzaakte een waarschuwing waarop Cisco een onderzoek startte.

De aanvaller bleek meerdere tools te gebruiken, waaronder LogMeIn en TeamViewer, en tools zoals Cobalt Strike, PowerSploit, Mimikatz en Impacket. Ook voegde de aanvaller zijn eigen backdoor-accounts toe. De aanvaller probeerde vervolgens data te stelen. Dat is volgens Cisco beperkt tot alleen een "Box folder" van de in eerste instantie gecompromitteerde medewerker. Er is geen ransomware uitgerold, zo laat het netwerkbedrijf verder weten.

Multifactorauthenticatie

Na de aankondiging van de inbraak en gestolen data kwam Cisco met een update waarin het stelt dat organisaties hun medewerkers over het gebruik van MFA moeten voorlichten, zodat ze weten hoe ze met onbedoelde push requests op hun telefoon moeten omgaan. Daarnaast moeten medewerkers weten wie ze in deze gevallen kunnen informeren mocht een dergelijke aanval zich voordoen.

Verder adviseert Cisco ook technische maatregelen, zoals een strengere controle bij het toevoegen van nieuwe apparaten waarmee medewerkers op een vpn kunnen inloggen, of het in zijn geheel blokkeren hiervan. Verder moet van elk systeem voordat het vpn-toegang krijgt de "security baseline" worden gecontroleerd. Dit moet ook voorkomen dat malafide, niet toegestane apparaten verbinding met het bedrijfsnetwerk kunnen maken. Ook adviseert Cisco het gebruik van netwerksegmentatie en het gecentraliseerd verzamelen van logbestanden.

 

 

bron: https://www.security.nl