Yanluowang: Ransomwaregruppe hackt Cisco

Eine Ransomwaregruppe hat interne Daten von Cisco kopiert und droht mit einer Veröffentlichung. Verschlüsselt wurde jedoch nichts.

Artikel veröffentlicht am ,
Ein Gebäude von Cisco
Ein Gebäude von Cisco (Bild: DennisM2/CC0 1.0)

Die Ransomwaregruppe Yanluowang, die nach einer chinesischen Gottheit benannt ist, ist bereits Ende Mai in das Unternehmensnetzwerk des Netzwerkausrüsters Cisco eingedrungen. Das bestätigte die Tochter- und Sicherheitsfirma Cisco Talos in einem Blogeintrag. Die Ransomwaregruppe kopierte interne Daten und drohte Cisco mit einer Veröffentlichung dieser, sollte das Unternehmen einer Lösegeldforderung nicht nachkommen.

Stellenmarkt
  1. SAP FICO Berater (m/w/x)
    über duerenhoff GmbH, Raum Frankfurt am Main
  2. Product Owner (m/f/d) for Hardware Security Modules
    Elektrobit Automotive GmbH, Erlangen
Detailsuche

Demnach kaperte Yanluowang in einem ersten Schritt das Google-Konto eines Cisco-Angestellten. Darin enthalten waren die synchronisierten Zugangsdaten zum Cisco-Netzwerk. Anschließend umgingen die Angreifer die eingesetzte Zwei-Faktor-Authentifizierung (2FA) mittels Voice Phishing. Dabei riefen sie den Betroffenen im vermeintlichen Namen unterschiedlicher Organisationen und mit verschiedenen Akzenten an und versuchten, ihn zum Akzeptieren einer 2FA-Pushnachricht zu bewegen. Diese akzeptierte er letztlich und ließ die Angreifer damit ins Unternehmensnetz.

Die Sicherheit von Push-Apps zur Zwei-Faktor-Authentifizierung wurde in der Vergangenheit immer wieder durch massenhafte Anfragen ausgehebelt, denen die Angegriffenen irgendwann zustimmten. Mit der MFA-Bombing genannten Technik gelang es beispielsweise der Hackergruppe Lapsus$, die Multi-Faktor-Authentifizierung von Microsoft zu umgehen und das Unternehmen zu hacken.

Yanluowang im Netzwerk von Cisco

Im Cisco- Netzwerk breitete sich die Yanluowang-Gruppe auf Citrix-Server und Domänencontroller aus. "Nach dem ersten Zugriff führte der Angreifer eine Reihe von Aktivitäten durch, um den Zugriff aufrechtzuerhalten, forensische Artefakte zu minimieren und seinen Zugriff auf die Systeme innerhalb der Umgebung zu erhöhen", erklärte Talos.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
Weitere IT-Trainings

Ciscos Sicherheitsteam entdeckte die Angreifer jedoch. Diese hätten erfolgreich aus dem Netzwerk entfernt werden können, hätten sich jedoch hartnäckig gezeigt und den Angriff über Wochen immer wieder versucht, schreibt Talos. Allerdings hätten die Angreifer damit keinen Erfolg mehr gehabt.

Die Eindringlinge kopierten jedoch offenbar rund 3.100 Dateien im Umfang von 2,75 GByte. Laut dem Onlinemagazin Bleepingcomputer sollen sich unter den Dateien Vertraulichkeitsvereinbarungen und technische Zeichnungen befinden. Mittlerweile veröffentlichte Yanluowang eine Übersicht der Daten auf ihrer Webseite im Darknet und drohte an, auch die Dateien online zu stellen.

Eine Ransomware selbst kam laut Talos bei dem Angriff jedoch nicht zum Einsatz. Wahrscheinlich wurden die Eindringlinge bereits vor dem Einsatz einer entsprechenden Software aus dem Netzwerk entfernt. Viele Ransomwaregruppen setzen auf das sogenannte Double Extortion, bei dem die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, eine Kopie der Daten zu veröffentlichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Superbase V
Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
Artikel
  1. Tesla Optimus: Elon Musk zeigt Roboter-Prototyp
    Tesla Optimus
    Elon Musk zeigt Roboter-Prototyp

    Roboter könnten für Tesla aus Sicht von Elon Musk bedeutender werden als Elektroautos. Der Konzern zeigte seinen ersten Roboter-Prototypen.

  2. Microsofts E-Mail: Modern Auth in Exchange macht Admins Arbeit
    Microsofts E-Mail
    Modern Auth in Exchange macht Admins Arbeit

    Ab dem 1. Oktober 2022 müssen Exchange-Clients zwingend Microsofts moderne Authentifizierung nutzen. Das bedeutet Mehrarbeit.
    Eine Analyse von Oliver Nickel

  3. Google: Nutzer fordern Bluetooth-Freigabe für Stadia-Controller
    Google
    Nutzer fordern Bluetooth-Freigabe für Stadia-Controller

    Mit der Einstellung von Stadia können auch Tausende der speziellen Controller ohne ein Update nicht mehr drahtlos genutzt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. LC-Power LC-M27-QHD-240-C-K 389€) und Damn-Deals (u. a. Kingston A400 240/480 GB 17,50€/32€, NZXT Kraken X73 139€) • Alternate: Weekend Sale • Razer Strider XXL 33,90€ • JBL Live Pro+ 49€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ • LG OLED65CS9LA 1.699€ [Werbung]
    •  /