{"id":272755,"date":"2022-09-13T08:33:43","date_gmt":"2022-09-13T06:33:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272755"},"modified":"2022-09-13T08:39:49","modified_gmt":"2022-09-13T06:39:49","slug":"cisco-beim-yanluowang-ransomware-angriff-entwendete-firmendaten-ffentlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/13\/cisco-beim-yanluowang-ransomware-angriff-entwendete-firmendaten-ffentlich\/","title":{"rendered":"Cisco: Beim Yanluowang-Ransomware-Angriff entwendete Firmendaten öffentlich"},"content":{"rendered":"

\"Sicherheit[English]US-Hersteller Cisco war ja das Opfer eines Ransomware-Angriffs der Yanluowang-Gruppe, was auch bekannt gegeben wurde. Nun hat die Gruppe begonnen, Daten des Unternehmens, die bei diesem Angriff erbeutet wurden, zu ver\u00f6ffentlichen. Cisco hat inzwischen zu dieser neuen Ver\u00f6ffentlichung eine Stellungnahme abgegeben. Bisher gibt es keine Erkenntnisse, dass sehr sensitive Daten, die sich auf die Gesch\u00e4fte des Unternehmens auswirken, erbeutet oder ver\u00f6ffentlicht wurden. <\/p>\n

<\/p>\n

R\u00fcckblick: Der Yanluowang-Ransomware-Angriff<\/h2>\n

\"\"Ich hatte es im August 2022 im Blog-Beitrag Cisco gesteht Hack (im Mai 2022) ein und ver\u00f6ffentlicht Details<\/a> gemeldet. Der US-Anbieter Cisco wurde im Mai 2022 Opfer eines Cyberangriffs. Der erste Zugriff auf das Cisco-VPN erfolgte durch die erfolgreiche Kompromittierung des pers\u00f6nlichen Google-Kontos eines Cisco-Mitarbeiters. Der Benutzer hatte die Kennwortsynchronisierung \u00fcber Google Chrome aktiviert und seine Cisco-Anmeldedaten in seinem Browser gespeichert, so dass diese Informationen mit seinem Google-Konto synchronisiert werden konnten. <\/p>\n

Der Angreifer f\u00fchrte eine Reihe ausgekl\u00fcgelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauensw\u00fcrdiger Organisationen durch und versuchte, das Opfer davon zu \u00fcberzeugen, vom Angreifer initiierte Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA) zu akzeptieren. Am Ende des Tages gelang es den Angreifern der Yanluowang-Gruppe in die IT-Infrastruktur des Unternehmens einzudringen. <\/p>\n

Ich hatte berichtet, dass die Angreifer eine Reihe von Citrix-Servern kompromittierten und schlie\u00dflich privilegierten Zugriff auf Dom\u00e4nencontroller erlangten. Zum 10. August 2022 hat Cisco diesen Angriff \u00f6ffentlich gemacht \u2013 auch weil die Angreifer erbeutete Informationen ver\u00f6ffentlichten. Von Cisco Talos hie\u00df es, dass das Cisco-Sicherheitsteam fr\u00fchzeitig auf die Angriffe aufmerksam wurde und den Angreifer (Yanluowang Ransomware-Gang) bei seinen Aktivit\u00e4ten beobachten konnte. Zitat:<\/p>\n

\n

Cisco best\u00e4tigte, dass die einzige erfolgreiche Datenexfiltration, die w\u00e4hrend des Angriffs stattfand, den Inhalt eines Box-Ordners umfasste, der mit dem Konto eines kompromittierten Mitarbeiters und den Authentifizierungsdaten des Mitarbeiters aus dem Active Directory verbunden war. Die Box-Daten, die der Angreifer in diesem Fall erlangte, waren nicht sensibel.<\/p>\n<\/blockquote>\n

Diese Aussagen basierten auf die vom Angreifer im Dark Web ver\u00f6ffentlichten Liste von Dateien aus diesem Sicherheitsvorfall. Die Details k\u00f6nnen in diesem CISCO-Beitrag<\/a> nachgelesen werden. Eine FAQ zum Vorfall hat Cisco hier<\/a> ver\u00f6ffentlicht.<\/p>\n

Cisco best\u00e4tigt Datenleck<\/h2>\n

Nachfolgendem Tweet<\/a> entnehme ich, dass die Yanluowang-Gruppe weitere Dateien, die beim Angriff erbeutet wurden, ver\u00f6ffentlicht. In diesem Artikel<\/a> hei\u00dft es, dass bei obigem Cyber-Angriff insgesamt 55 GByte an Daten durch die  Yanluowang-Ransomware abgezogen wurden. Bleeping Computer teilten die Cyber-Kriminellen mit, dass sie Tausende von Dateien mit einer Gesamtgr\u00f6\u00dfe von 55 GB gestohlen haben, darunter auch geheime Dokumente, technische Pl\u00e4ne und Quellcode. Bleeping Computer ging ein Screenshot zu, der belegen soll, dass die Dateien einer Entwicklungsumgebung zu sehen seien – was aber nicht wirklich verifizierbar war.<\/p>\n

\"Cisco<\/a><\/p>\n

Zum 11. September 2022 hat Cisco Talos ein Update seines Artikels zum Cyber-Angriff<\/a> (sowie diesen Artikel<\/a>) ver\u00f6ffentlicht. Dort hei\u00dft es, dass die T\u00e4ter am 11. September 2022 Dateien im Dark Web ver\u00f6ffentlicht h\u00e4tten. Diese Dateien stimmten mit der ver\u00f6ffentlichten Liste von Dateinamen aus dem Sicherheitsvorfall \u00fcberein. Cisco gibt an, dass der Inhalt dieser Dateien mit dem \u00fcbereinstimme, was man bereits identifiziert und ver\u00f6ffentlicht habe. <\/p>\n

Die bisherige Bewertung durch Cisco zeige, so dass Unternehmen, dass dieser Vorfall keine Auswirkungen auf Waren oder Dienstleistungen von Cisco, Kundendaten, Mitarbeiterinformationen, geistiges Eigentum oder Lieferkettenabl\u00e4ufe hatte. Vorl\u00e4ufiges Fazit: Ja, Cisco ist von der Ransomware-Gruppe ausgetrickst worden und die Angreifer konnten ins IT-Netzwerk eindringen, um sogar einen Dom\u00e4nencontroller zu \u00fcbernehmen. Aber die erbeuteten Daten sich nicht so kritisch, dass sie sich auf Produkte oder Dienstleistungen sowie Gesch\u00e4ftsgeheimnisse oder Beziehungen mit Lieferanten oder Kunden auswirken. Es bleibt spannend, ob sich Cisco am Ende des Tages bez\u00fcglich der Einsch\u00e4tzung korrigieren muss – oder ob die Ank\u00fcndigungen der Ransomware-Gang hei\u00dfe Luft waren.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]US-Hersteller Cisco war ja das Opfer eines Ransomware-Angriffs der Yanluowang-Gruppe, was auch bekannt gegeben wurde. Nun hat die Gruppe begonnen, Daten des Unternehmens, die bei diesem Angriff erbeutet wurden, zu ver\u00f6ffentlichen. Cisco hat inzwischen zu dieser neuen Ver\u00f6ffentlichung eine Stellungnahme … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-272755","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272755","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272755"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272755\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272755"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272755"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272755"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}