雪鹰领主,穿越小说排行榜,yy玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

思科遭遇勒索軟件團伙的攻擊

據(jù)外媒報道，美國網(wǎng)絡巨頭思科系統(tǒng)公司日前證實遭到黑客攻擊，一個名稱為Yanluowang的勒索軟件運營商聲稱對其網(wǎng)絡進行了攻擊。

思科公司的Talos威脅情報團隊發(fā)布了一份8110線路列表，顯示了受到攻擊的文件夾名稱和可能泄露的文件。

但該團隊聲稱，這一漏洞只導致無關緊要的數(shù)據(jù)外泄，并導致網(wǎng)絡攻擊者從思科系統(tǒng)和公司網(wǎng)絡中啟動。分析師指出，他們反復嘗試重新侵入，盡管使用了各種先進技術，但他們還是沒有取得最初的成功。

發(fā)生了什么?

Talos威脅情報團隊分析師聲稱，網(wǎng)絡攻擊者首先控制了思科公司一名員工的個人Google賬戶。

他們解釋說，“這名員工通過谷歌瀏覽器啟用了密碼同步，并將其思科憑據(jù)存儲在瀏覽器中，從而使該信息能夠同步到自己的谷歌賬戶。在獲得這名員工的憑據(jù)后，網(wǎng)絡攻擊者試圖使用多種技術繞過多因素身份驗證(MFA)，其中包括語音網(wǎng)絡釣魚，即向目標移動設備發(fā)送大量推送請求的過程直到用戶接受。一旦攻擊者獲得初始訪問權限，他們就會為MFA注冊一系列新設備，并成功通過Cisco VPN的身份驗證。”

網(wǎng)絡攻擊者采取的措施：

將網(wǎng)絡攻擊者的權限提升為“管理員”，允許他們登錄到各種系統(tǒng)(思科安全的IT團隊在此時發(fā)現(xiàn)有問題)。
刪除遠程訪問和攻擊性安全工具。
添加后門賬戶和持久化機制。

該團隊解釋說：“在最初訪問環(huán)境后，威脅參與者采取各種措施，以維護訪問權限、最大限度地減少取證，并提高他們對環(huán)境中系統(tǒng)的訪問級別。網(wǎng)絡攻擊者設法破壞了一系列Citrix服務器，并最終獲得了對域控制器的特權訪問?！?/p>

他們追蹤憑據(jù)數(shù)據(jù)庫、注冊表信息和包含憑據(jù)的內(nèi)存，刪除創(chuàng)建的帳戶，并清除系統(tǒng)日志以掩蓋他們的蹤跡，更改基于主機的防火墻配置以啟用RDP訪問系統(tǒng)，并試圖竊取內(nèi)部信息。

事實證明，他們只設法從Active Directory中竊取了與受感染員工帳戶和員工身份驗證數(shù)據(jù)相關聯(lián)的Box文件夾的內(nèi)容。

思科公司聲稱，“該事件包含在企業(yè)IT環(huán)境中，思科公司沒有發(fā)現(xiàn)對任何思科產(chǎn)品或服務、敏感的客戶數(shù)據(jù)或員工信息、思科知識產(chǎn)權或供應鏈運營有任何影響?！?/p>

這些網(wǎng)絡攻擊者在被啟動之前沒有設法部署勒索軟件，但他們?nèi)匀辉噲D從思科公司勒索贖金，以換取被盜數(shù)據(jù)不對外泄露。

可以吸取的教訓

思科公司于2022年5月24日首次注意到正在進行的網(wǎng)絡攻擊，但沒有透露在此之前這一攻擊持續(xù)了多長時間。

思科Talos團隊詳細介紹了網(wǎng)絡攻擊者獲取訪問權限，以及他們在思科企業(yè)網(wǎng)絡中所采取的措施，以及將他們從網(wǎng)絡中移除后重新進入的嘗試，并分享了入侵跡象，以幫助其他企業(yè)防御者和事件響應者。

分析師指出，“根據(jù)獲得的工件、識別的戰(zhàn)術、技術和程序(TTP)、使用的基礎設施以及對這次攻擊中使用的后門的徹底分析，我們以中等到高度的信心評估這次攻擊是由具有之前被確定的與UNC2447和Lapsus$有關的初始訪問代理(IAB)。

我們還觀察到之前的活動將這個威脅行為者與Yanluowang勒索軟件團伙聯(lián)系起來，包括使用Yanluowang數(shù)據(jù)泄露網(wǎng)站發(fā)布從受害企業(yè)竊取的數(shù)據(jù)。”

思科公司發(fā)布的披露和詳細報告獲得了許多網(wǎng)絡安全專家的好評，并強調了一些已知的安全機制弱點。

名稱欄目：思科遭遇勒索軟件團伙的攻擊
標題網(wǎng)址：http://fisionsoft.com.cn/article/dhsdjgd.html

新聞中心

發(fā)生了什么?

可以吸取的教訓

其他資訊