หนึ่งเดือนหลังจากยืนยันว่าระบบถูกละเมิด Cisco ยักษ์ใหญ่ด้านเครือข่ายรายงานว่าการโจมตีดังกล่าวเป็นความพยายามของแรนซัมแวร์ที่ล้มเหลวซึ่งดำเนินการในนามของ Lapsus$ กลุ่ม.
อาชญากรไซเบอร์สามารถเข้าถึงระบบของ Cisco ด้วย การโจมตีทางวิศวกรรมสังคมk ซึ่งเริ่มต้นด้วยการที่ผู้โจมตีเข้าควบคุมบัญชี Google ส่วนตัวของพนักงาน โดยที่ข้อมูลรับรองที่บันทึกไว้ในเบราว์เซอร์ของเหยื่อได้รับการซิงโครไนซ์ จากนั้น ในชุดการโจมตีแบบฟิชชิ่งด้วยเสียงที่ซับซ้อน แก๊งค์ได้โน้มน้าวให้เหยื่อยอมรับการแจ้งเตือนแบบพุชของการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ทำให้มิจฉาชีพสามารถเข้าสู่ระบบ VPN ขององค์กรได้ราวกับว่าพวกเขาเป็นเหยื่อ
จากนั้น ผู้โจมตีสามารถโจมตีระบบ Cisco, ยกระดับสิทธิ์, ยกเลิกเครื่องมือการเข้าถึงระยะไกล, ปรับใช้ Cobalt Strike และมัลแวร์ที่น่ารังเกียจอื่นๆ และเพิ่มแบ็คดอร์ของตัวเองเข้าสู่ระบบ
“จากสิ่งประดิษฐ์ที่ได้รับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ระบุ โครงสร้างพื้นฐานที่ใช้ และการวิเคราะห์ประตูหลังที่ใช้ในการโจมตีครั้งนี้อย่างละเอียด เราประเมินด้วยความมั่นใจปานกลางถึงสูงว่าการโจมตีนี้ดำเนินการโดยฝ่ายตรงข้ามที่ ก่อนหน้านี้ระบุว่าเป็นนายหน้าการเข้าถึงเริ่มต้น (IAB) ซึ่งมีความเกี่ยวข้องกับทั้ง UNC2447 และ Lapsus$” ทีมงาน Cisco Talos อธิบายใน อัปเดต 11 กันยายน ในการละเมิดเดือนสิงหาคม “ในขณะที่เราไม่ได้สังเกตเห็นการติดตั้งแรนซัมแวร์ในการโจมตีครั้งนี้ แต่ TTP ที่ใช้นั้นสอดคล้องกับ 'กิจกรรมก่อนแรนซัมแวร์' ซึ่งเป็นกิจกรรมที่มักพบเห็นได้ซึ่งนำไปสู่การปรับใช้แรนซัมแวร์ในสภาพแวดล้อมของเหยื่อ”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
