¿Cómo fue el hackeo que vivió CISCO con el ransomware Yanluowang?

El 24 de mayo de 2022, Oracle sufrió un ataque que se catalogaría como critico en el cual un ransomware del grupo de Yanluowang logró acceder a la red de empresarial de Oracle y robó archivos e información para que de esta manera generar extorsiones a la empresa por dicha filtración de datos.


Conexiones de cableados

Todo esto debido al nivel de extorsión se mantuvo en secreto hasta que el 10 de agosto #CISCO confirmó el hecho facilitando información de estos en los cuales se especifica que los atacantes no lograron obtener información confidencial que afectase los intereses de la empresa.


Origen del Ataque


El ataque que se suscitó en mayo tuvo lugar a una cuenta personal que se encontraba en Google realizando un ataque el cual se centró en aquellas credenciales que se quedaron guardadas en dicha cuenta en el navegador de escritorio permitiendo de esta manera facilitar el trabajo del atacante teniendo un acceso relativamente sencillo para el atacante el cual dispuso de un ransomware malicioso con el cual fue el robo de información del sistema corporativo de CISCO.


Acciones tomadas


Cuando el ataque se logra, Cisco Security Incident Response (CSIRT) y Talos, tomaron cartas en el asunto y desde dicho evento ambos han estado en constante monitoreo para evitar un acontecimiento igual y de esta manera mantener constante la seguridad de la empresa.


Debido a esto la empresa ha logrado deducir que el atacante Yanluowang no obtuvo información relevante por lo tanto se descartaría un ataque critico ya que el atacante no obtuvo información vital que representara un riesgo a la compañía


¿Cómo actuó el ransomware?


Se generaron una serie de ataques por Phishing de voz por la cual el ciberataque se hizo presente, posteriormente el atacante se identificó bajo la apariencia de varias organizaciones confiables con las cuales intentaban convencer a la víctima aceptar las autenticaciones de multifactor que el mismo atacante inició y al momento de obtener acceso dispuso de una VPN con la cual perjudicó al usuario.


Posteriormente, el grupo de atacantes realizó varias actividades para mantenerse dentro de la cuenta y su acceso no se invalidará para que de esta manera aumentar sus niveles de entradas en la red Cisco y mantenerse en línea el tiempo suficiente como para compenetrar en la red y obtener datos vitales en su intento.


Más tarde, la organización logró eliminarlos con éxito, permitiendo identificar también en el proceso, la unión que mantenía el grupo de ransomware Yanluowang con los actores de amenazas Lapsus$ y la pandilla de ciberdelincuencia UNC2447, para que de esta manera fueran depurados y bloqueados del sistema para identificar a estos atacantes que tuvieron como objetivo ser intermediario en el acceso inicial del ciberataque.


¿Qué es “Yanluowang”?


Este tipo de ransomware es uno de los varios tipos de malware que se encuentran en línea, adjudicando que este es relativamente peligroso y desconocido, este atacante fue conocido por primera vez en el año 2021 destacado prácticamente por sus víctimas, ya que la mayoría de ellas fueron empresas grandes.




Referencias y Créditos:

Cisco confirma hackeo en mayo de este año con el ransomware Yanluowang - TrendTIC. (s. f.). TrendTIC. https://www.trendtic.cl/2022/08/cisco-confirma-hackeo-en-mayo-de-este-ano-con-el-ransomware-yanluowang/

33 visualizaciones0 comentarios

Entradas Recientes

Ver todo