Yanluowang: Ransomwaregruppe hackt Cisco
Die Ransomwaregruppe Yanluowang, die nach einer chinesischen Gottheit benannt ist, ist bereits Ende Mai in das Unternehmensnetzwerk des Netzwerkausrüsters Cisco eingedrungen. Das bestätigte die Tochter- und Sicherheitsfirma Cisco Talos in einem Blogeintrag(öffnet im neuen Fenster) . Die Ransomwaregruppe kopierte interne Daten und drohte Cisco mit einer Veröffentlichung dieser, sollte das Unternehmen einer Lösegeldforderung nicht nachkommen.
Demnach kaperte Yanluowang in einem ersten Schritt das Google-Konto eines Cisco-Angestellten. Darin enthalten waren die synchronisierten Zugangsdaten zum Cisco-Netzwerk. Anschließend umgingen die Angreifer die eingesetzte Zwei-Faktor-Authentifizierung (2FA) mittels Voice Phishing. Dabei riefen sie den Betroffenen im vermeintlichen Namen unterschiedlicher Organisationen und mit verschiedenen Akzenten an und versuchten, ihn zum Akzeptieren einer 2FA-Pushnachricht zu bewegen. Diese akzeptierte er letztlich und ließ die Angreifer damit ins Unternehmensnetz.
Die Sicherheit von Push-Apps zur Zwei-Faktor-Authentifizierung wurde in der Vergangenheit immer wieder durch massenhafte Anfragen ausgehebelt, denen die Angegriffenen irgendwann zustimmten. Mit der MFA-Bombing genannten Technik gelang es beispielsweise der Hackergruppe Lapsus$, die Multi-Faktor-Authentifizierung von Microsoft zu umgehen und das Unternehmen zu hacken .
Yanluowang im Netzwerk von Cisco
Im Cisco- Netzwerk breitete sich die Yanluowang-Gruppe auf Citrix-Server und Domänencontroller aus. "Nach dem ersten Zugriff führte der Angreifer eine Reihe von Aktivitäten durch, um den Zugriff aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf die Systeme innerhalb der Umgebung zu erhöhen," erklärte Talos.
Ciscos Sicherheitsteam entdeckte die Angreifer jedoch. Diese hätten erfolgreich aus dem Netzwerk entfernt werden können, hätten sich jedoch hartnäckig gezeigt und den Angriff über Wochen immer wieder versucht, schreibt Talos. Allerdings hätten die Angreifer damit keinen Erfolg mehr gehabt.
Die Eindringlinge kopierten jedoch offenbar rund 3.100 Dateien im Umfang von 2,75 GByte. Laut dem Onlinemagazin Bleepingcomputer(öffnet im neuen Fenster) sollen sich unter den Dateien Vertraulichkeitsvereinbarungen und technische Zeichnungen befinden. Mittlerweile veröffentlichte Yanluowang eine Übersicht der Daten auf ihrer Webseite im Darknet(öffnet im neuen Fenster) und drohte an, auch die Dateien online zu stellen.
Eine Ransomware selbst kam laut Talos bei dem Angriff jedoch nicht zum Einsatz. Wahrscheinlich wurden die Eindringlinge bereits vor dem Einsatz einer entsprechenden Software aus dem Netzwerk entfernt. Viele Ransomwaregruppen setzen auf das sogenannte Double Extortion, bei dem die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, eine Kopie der Daten zu veröffentlichen.