シスコがランサムウェア集団「ヤヌオウォン」による攻撃を確認

セブン-イレブン・デンマーク、ランサムウェア攻撃による店舗閉鎖を確認
8月 10, 2022
英国MSPがランサムウェア攻撃を受け、英国NHSのサービスが復旧作業中
8月 11, 2022

シスコがランサムウェア集団「ヤヌオウォン」による攻撃を確認

2022年8月10日(水)、シスコは、5月下旬にヤヌオウォンランサムウェアグループが同社の企業ネットワークに侵入し、盗んだファイルをネット上に流出させる、と恐喝しようとしたことを明らかにしました。しかしシスコは、このインシデントが同社の事業運営に影響を及ぼさないことも確認しています。これは、ヤヌオウォンランサムウェアグループが2022年8月10日(水)未明に、このインシデントから得たファイルのリストをダークウェブサイトに公開したことを受けて発表されたものです。
脅威アクターは、従業員のブラウザから同期された認証情報を含む従業員の個人的なグーグルアカウントを乗っ取った後、盗まれた認証情報を使用してシスコのネットワークにアクセスしたようです。そして、脅威アクターは多要素認証(MFA)に疲弊をもたらす複数のリクエストを送信したのち、シスコの従業員にVPNのMFAのプッシュ通知を受け入れさせました。
同社の企業ネットワークに足がかりを得た脅威アクターは、シスコネットワーク内のシトリックスサーバーとドメインコントローラーに水平展開させることを考え、ドメイン管理者を獲得し、ntdsutil、adfind、secretsdumpなどの列挙ツールを使用してさらに情報を収集し、バックドアを含む一連のペイロードを侵害されたシステムにインストールしたのです。最終的に、シスコは彼らを検知し、その環境から追い出しましたが、彼らはその後数週間にわたってアクセスを回復しようとし続けました。
「脅威アクターの環境からの排除に成功し、攻撃後の数週間、繰り返しアクセスを回復しようとする持続性を示しましたが、これらの試みは失敗に終わりました。」
– シスコの声明より
ヤヌオウォンランサムウェアグループは、約3,100のファイルで構成される2.75GBのデータを盗んだと主張しており、これらのファイルの多くは、秘密保持契約書、データダンプ、およびエンジニアリング図面です。シスコは、盗まれたデータが侵害された従業員のアカウントにリンクされたBoxフォルダの非機密データであることを明らかにしました。

コメントを残す

メールアドレスが公開されることはありません。