Cisco โดนแฮ็กโดยแก๊งแรนซัมแวร์ Yanluowang

Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป
 
Credit : bleepingcomputer.com
Cisco เปิดเผยรายละเอียดถึงเหตุการณ์ครั้งนี้ว่า:
  • Cisco ระบุว่า ข้อมูลที่ถูกขโมยออกไปนั้น ไม่ได้มีความสำคัญมากนัก แต่ก็ไม่ได้บ่งบอกว่าเป็นไฟล์ประเภทใดบ้าง จะเกี่ยวข้องถึงข้อมูลผลิตภัณฑ์ ข้อมูลพนักงาน ทรัพย์สินทางปัญญา หรือด้านซัพพลายเชน หรือไม่
  • Cisco ระบุแค่แหล่งตำแหน่งของข้อมูลที่ถูกล้วงไปจาก Folder Box ที่เชื่อมโยงกับบัญชีของพนักงานในองค์กร
  • Yanluowang ผู้คุกคามใช้ข้อมูลประจำตัวของพนักงานที่ขโมยจากบัญชี Google ส่วนตัวที่ซิงค์จากเบราว์เซอร์ ในการเข้าถึงเครือข่ายของ Cisco
  • 10 สิงหาคม Cisco ถูกผู้คุกคามเผยแพร่รายการไฟล์บน Dark Web
  • ผู้คุกคามอ้างว่าได้ขโมยข้อมูลกว่า 2.75GB ซึ่งประกอบด้วยไฟล์ประมาณ 3,100 ไฟล์ ไฟล์เหล่านี้จำนวนมากที่ถูกนำมาเป็นข้อตกลงว่าจะไม่เปิดเผยข้อมูล การถ่ายโอนข้อมูล และแบบวิศวกรรม
 
Yanluowang ใช้กลยุทธหลอกล่อพนักงานของ Cisco จนตายใจ:
  • ผู้คุกคามได้พยายามโน้มน้าวให้พนักงานของ Cisco ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)
  • ในที่สุดเหยื่อก็หลงกลยอมรับการแจ้งเตือน MFA ทำให้ผู้คุกคามเข้าถึง VPN ในบริบทของผู้ใช้ที่เป็นเป้าหมายได้สำเร็จ
  • หลังจากผู้คุกคามเข้าถึงภายในเครือข่ายขององค์กรได้แล้ว จะกระจายตัวไปยัง Citrix servers และ domain controllers เพื่อให้ได้สิทธิ์เป็น admin ควบคุมระบบโดยใช้ Enumeration Tool เครื่องมือในการค้นหาและเก็บข้อมูลรายละเอียด
  • Cisco ได้ตรวจพบและได้กำจัดผู้คุกคามออกจากระบบเครือข่าย แต่แก๊ง Yanluowang ก็ยังพยายามยกระดับการเข้าถึงระบบอีกหลายครั้งแต่ก็ไม่สามารถปฏิบัติการซ้ำรอยเดิมได้อีก
 
Yanluowang ขู่ว่ามีข้อมูลที่ได้จากโจรกรรมกว่า 3,100 ไฟล์:
  • ผู้คุกคามได้ส่งเอกสารอีเมลและ NDA ที่ถูกขโมยมาจากการโจมตีไปยัง BleepingComputer เพื่อเป็นการตอกย้ำด้วยหลักฐานในการโจมตีและ “คำใบ้” ว่าพวกเขาละเมิดเครือข่ายของ Cisco และไฟล์ที่ถูกดึงออกมา
  • ล่าสุด ผู้กรรโชกทรัพย์ได้ประกาศก้าวถึงวีรกรรมการละเมิดเครือข่ายของ Cisco ผ่านเว็บไซต์ และเผยแพร่รายการไดเรกทอรีเดียวกันที่ส่งไปยัง BleepingComputer ก่อนหน้านี้
 
Cisco ออกมาสวนกลับต่อคำประกาศก้าวของแก๊ง Yanluowang ว่าไม่พบหลักฐานว่ามีการ Payloads จาก Ransomware ในระหว่างที่ถูกโจมตี ซึ่งทางทีม Cisco ได้ประเมินสถานการณ์ด้วยการยกระดับปานกลางถึงขั้นสูงสุดสำหรับความเข้มข้นในการตรวจสอบจนพบว่าเป็น initial access broker (IAB) ที่มีความเกี่ยวข้องกับกลุ่มอาชญากรไซเบอร์ UNC2447 กลุ่มผู้คุกคาม Lapsus$ และ Yanluowang
 
นอกจากนี้แก๊ง Yanluowang ยังแอบอ้างอีกว่า เพิ่งละเมิดระบบเครือข่ายของ Walmart แต่อย่างไรก็ตามฝั่งผู้ค้าปลีกชาวอเมริกันได้ปฏิเสธเกี่ยวกับการโจมตีที่แอบอ้างนี้ โดยบอกกับ BleepingComputer ว่าไม่พบหลักฐานการโจมตี ransomware แต่อย่างใด
 

About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] งานแสดงเทคโนโลยีธุรกิจ 5G แห่งอนาคต เริ่มอย่างเป็นทางการแล้ววันนี้!!

เปิดประสบการณ์สู่โลกของธุรกิจเทคโนโลยีไร้สายความเร็วสูง 28-29 กันยายน ณ สามย่านมิตรทาว์นฮอลล์ ชั้น 5 สามย่านมิตรทาวน์ กรุงเทพฯ

Intel เปิดตัวหน่วยประมวลผล 13th Gen Intel Core

Intel เปิดตัวหน่วยประมวลผล 13th Gen Intel Core ใช้โค้ดเนม Raptor Lake เตรียมวางจำหน่าย 20 ตุลาคมนี้