En måned efter at have bekræftet, at dets systemer var brudt, rapporterede netværksgiganten Cisco, at angrebet var et mislykket ransomware-forsøg udført på vegne af Lapsus$ gruppe.
De cyberkriminelle fik adgang til Ciscos systemer med en social ingeniørattack det begyndte med, at en angriber tog kontrol over en medarbejders personlige Google-konto, hvor legitimationsoplysninger gemt i ofrets browser blev synkroniseret. Derefter, i en række sofistikerede stemme-phishing-angreb, overbeviste banden offeret om at acceptere multifaktorautentificering (MFA) push-meddelelser, hvilket gav skurke muligheden for at logge ind på virksomhedens VPN, som om de var offeret.
Derfra var angriberne i stand til at kompromittere Cisco-systemer, hæve privilegier, droppe fjernadgangsværktøjer, implementere Cobalt Strike og anden offensiv malware og tilføje deres egne bagdøre til systemet.
"Baseret på opnåede artefakter, identificerede taktikker, teknikker og procedurer (TTP'er), anvendt infrastruktur og en grundig analyse af bagdøren, der blev brugt i dette angreb, vurderer vi med moderat til høj tillid, at dette angreb blev udført af en modstander, der har været tidligere identificeret som en initial access broker (IAB) med bånd til både UNC2447 og Lapsus$," forklarede Cisco Talos-teamet i en 11. september opdatering om bruddet i august. "Selvom vi ikke observerede udrulning af ransomware i dette angreb, var de anvendte TTP'er i overensstemmelse med 'pre-ransomware-aktivitet', aktivitet, der almindeligvis observeres før udrulningen af ransomware i offermiljøer."