Il gruppo ransomware noto come Yanluowang ha violato la rete aziendale di Cisco, multinazionale specializzata nel settore del networking, per poi trafugare dei dati interni.
L'attacco, avvenuto a maggio e confermato dall'azienda stessa, è stato analizzato dal Cisco Security Incident Response (CSIRT) e da Cisco Talos e ha avuto origine dalla violazione di un account Google personale che conteneva le credenziali di un dipendente dell'azienda.
Successivamente, tramite attacchi di tipo voice phishing, gli hacker hanno indotto la vittima ad accettare una notifica push MFA con la quale è stato possibile ottenere accesso alla VPN aziendale.
In base a quanto riscontrato da Cisco Talos, poi, gli hacker sarebbero riusciti a collegare alla VPN una serie di nuovi dispositivi per la MFA e l'autenticazione. In seguito, grazie all'escalation dei privilegi e all'accesso a vari sistemi, il gruppo è riuscito a installare vari tool nella rete colpita, inclusi strumenti di accesso remoto come LogMeIn e TeamViewer, ma anche Cobalt Strike, Impacket e altri.
L'azienda ha dichiarato che i dati interni trafugati non sono di natura sensibile e che il gruppo Yanluowang non ha installato alcun ransomware sulla rete, nel corso dell'attacco. Ciononostante, il gruppo ha tentato di estorcere denaro all'azienda con la minaccia di divulgare tutti i dati esfiltrati durante l'operazione ostile.
Il fatto che il gruppo hacker non abbia utilizzato il proprio ransomware potrebbe essere spiegato dal fatto che Kaspersky abbia messo a disposizione un tool di decrittazione gratuito per Yanluowang, disponibile per il download dal sito ufficiale.
Come sempre, vi ricordiamo che è sempre consigliabile utilizzare un buon antivirus per proteggersi dal ransomware. In ogni caso, esistono organizzazioni come No More Ransom che assistono le vittime di tali attacchi, spesso anche con interventi risolutivi. Qualora doveste subire un attacco ransomware, prima di pagare il riscatto, rivolgetevi a una di queste associazioni, dato che potrebbero aiutarvi in modo concreto.