| 关键词: 思科 攻击者 勒索 团伙 yanluowang 文件 阎罗王 沃尔玛 他们 表示 |
思科证实,阎罗王(yanluowang)勒索软件团伙在 5 月下旬入侵了该公司网络,攻击者以泄露被盗文件来勒索他们。 攻击者从受感染员工账户相关联的 Box 文件夹中获取非敏感数据,思科发言人表示,此事件未对业务造成任何影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。 8 月 10 日,攻击者将获取的泄露文件列表发布到暗网。 Yanluowang攻击者在劫持员工的个人 Google 账户(包含从其浏览器同步的账号密码)后,使用员工被盗的账号密码获得了对思科网络的访问权限。攻击者通过多因素身份验证 (MFA) 推送通知诱骗思科员工,并通过一系列复杂的语音信息实施钓鱼攻击。 攻击者最终诱骗受害者接受其中一个 MFA(多因素验证) 通知,并在目标用户的上下文中获得了对 VPN 的访问权限。 一旦他们在企业网络站稳脚跟,Yanluowang勒索团伙就会尝试横向扩展到服务器和域控制器。 “他们进入 Citrix 环境,破坏了一系列 Citrix 服务器,并最终获得了对域控制器的特权访问权限。”Cisco发言人表示。 在获得域管理员后,他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息,并将一系列有效负载安装到受感染的系统上,包括后门。 攻击者声称窃取了 2.75GB 的数据,其中包括大约 3,100 个文件。许多文件是保密协议、数据转储和工程图纸。 攻击者向 BleepingComputer 发送了一份在攻击中被盗的经过编辑的 NDA 文件,作为攻击的证据,并“暗示”他们破坏了思科的网络并获取了目标文件。攻击者在他们的数据泄露网站上宣布了对思科的入侵活动,并发布了相关文件列表。 思科表示,尽管Yanluowang勒索团伙以加密受害者文件而闻名,但在本次攻击中没有发现勒索软件的部署。 思科表示:“我们以中等到高度的信心评估这次攻击是由一个先前被确定与UNC2447有关的网络犯罪团伙、Lapsus$ 威胁行为者组织和 Yanluowang 勒索软件团伙有联系的初始访问代理的对手进行的。” Yanluowang(阎罗王)勒索软件团伙最早由赛门铁克披露,Yanluowang(阎罗王)勒索软件加密破坏的文件扩展名被修改为.Yanluowang,该团伙因此得名。 Yanluowang勒索软件团伙在今年6月底声称入侵美国零售商沃尔玛,破坏了沃尔玛的网络,加密了40,000 至 50,000 台设备,勒索该公司5500万美元,但遭到沃尔玛否认。 参考链接:www.bleepingcomputer.com |
| 本文出处: https://www.toutiao.com/article/7130512082952733219/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|