TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cisco ออกมายอมรับว่า ได้ถูกแก๊งแรนซัมแวร์ Yanluowang ลุกล้ำเข้ามาในเครือข่ายขององค์กรจริง เหตุการณ์เกิดขึ้นเมื่อช่วงปลายเดือนพฤษภาคมที่ผ่านมา และยังถูกรีดไถจากไฟล์ข้อมูลที่ถูกโจรกรรมออกไป
Cisco เปิดเผยรายละเอียดถึงเหตุการณ์ครั้งนี้ว่า:
-
Cisco ระบุว่า ข้อมูลที่ถูกขโมยออกไปนั้น ไม่ได้มีความสำคัญมากนัก แต่ก็ไม่ได้บ่งบอกว่าเป็นไฟล์ประเภทใดบ้าง จะเกี่ยวข้องถึงข้อมูลผลิตภัณฑ์ ข้อมูลพนักงาน ทรัพย์สินทางปัญญา หรือด้านซัพพลายเชน หรือไม่
-
Cisco ระบุแค่แหล่งตำแหน่งของข้อมูลที่ถูกล้วงไปจาก Folder Box ที่เชื่อมโยงกับบัญชีของพนักงานในองค์กร
-
Yanluowang ผู้คุกคามใช้ข้อมูลประจำตัวของพนักงานที่ขโมยจากบัญชี Google ส่วนตัวที่ซิงค์จากเบราว์เซอร์ ในการเข้าถึงเครือข่ายของ Cisco
-
10 สิงหาคม Cisco ถูกผู้คุกคามเผยแพร่รายการไฟล์บน Dark Web
-
ผู้คุกคามอ้างว่าได้ขโมยข้อมูลกว่า 2.75GB ซึ่งประกอบด้วยไฟล์ประมาณ 3,100 ไฟล์ ไฟล์เหล่านี้จำนวนมากที่ถูกนำมาเป็นข้อตกลงว่าจะไม่เปิดเผยข้อมูล การถ่ายโอนข้อมูล และแบบวิศวกรรม
Yanluowang ใช้กลยุทธหลอกล่อพนักงานของ Cisco จนตายใจ:
-
ผู้คุกคามได้พยายามโน้มน้าวให้พนักงานของ Cisco ยืนยันตัวตนโดยใช้หลายปัจจัย (MFA)
-
ในที่สุดเหยื่อก็หลงกลยอมรับการแจ้งเตือน MFA ทำให้ผู้คุกคามเข้าถึง VPN ในบริบทของผู้ใช้ที่เป็นเป้าหมายได้สำเร็จ
-
หลังจากผู้คุกคามเข้าถึงภายในเครือข่ายขององค์กรได้แล้ว จะกระจายตัวไปยัง Citrix servers และ domain controllers เพื่อให้ได้สิทธิ์เป็น admin ควบคุมระบบโดยใช้ Enumeration Tool เครื่องมือในการค้นหาและเก็บข้อมูลรายละเอียด
-
Cisco ได้ตรวจพบและได้กำจัดผู้คุกคามออกจากระบบเครือข่าย แต่แก๊ง Yanluowang ก็ยังพยายามยกระดับการเข้าถึงระบบอีกหลายครั้งแต่ก็ไม่สามารถปฏิบัติการซ้ำรอยเดิมได้อีก
Yanluowang ขู่ว่ามีข้อมูลที่ได้จากโจรกรรมกว่า 3,100 ไฟล์:
-
ผู้คุกคามได้ส่งเอกสารอีเมลและ NDA ที่ถูกขโมยมาจากการโจมตีไปยัง BleepingComputer เพื่อเป็นการตอกย้ำด้วยหลักฐานในการโจมตีและ “คำใบ้” ว่าพวกเขาละเมิดเครือข่ายของ Cisco และไฟล์ที่ถูกดึงออกมา
-
ล่าสุด ผู้กรรโชกทรัพย์ได้ประกาศก้าวถึงวีรกรรมการละเมิดเครือข่ายของ Cisco ผ่านเว็บไซต์ และเผยแพร่รายการไดเรกทอรีเดียวกันที่ส่งไปยัง BleepingComputer ก่อนหน้านี้
Cisco ออกมาสวนกลับต่อคำประกาศก้าวของแก๊ง Yanluowang ว่าไม่พบหลักฐานว่ามีการ Payloads จาก Ransomware ในระหว่างที่ถูกโจมตี ซึ่งทางทีม Cisco ได้ประเมินสถานการณ์ด้วยการยกระดับปานกลางถึงขั้นสูงสุดสำหรับความเข้มข้นในการตรวจสอบจนพบว่าเป็น initial access broker (IAB) ที่มีความเกี่ยวข้องกับกลุ่มอาชญากรไซเบอร์ UNC2447 กลุ่มผู้คุกคาม Lapsus$ และ Yanluowang
นอกจากนี้แก๊ง Yanluowang ยังแอบอ้างอีกว่า เพิ่งละเมิดระบบเครือข่ายของ Walmart แต่อย่างไรก็ตามฝั่งผู้ค้าปลีกชาวอเมริกันได้ปฏิเสธเกี่ยวกับการโจมตีที่แอบอ้างนี้ โดยบอกกับ BleepingComputer ว่าไม่พบหลักฐานการโจมตี ransomware แต่อย่างใด
