Cisco garante que ciberataque não impactou negócio e serviços

Depois de ter sido alvo de um ciberataque em maio deste ano, a Cisco veio agora confirmar que os dados da lista de documentos publicados na dark web foram agora divulgados no mesmo local.

A empresa admite, contudo, que o ataque de ransomware não terá provocado impacto no negócio, nomeadamente produtos, serviços, dados confidenciais de clientes e empregados e operações ao nível da supply chain. Em comunicado, publicado a 11 de setembro, a empresa garantiu ter implementado medidas para aumentar a segurança dos sistemas.

Durante a investigação ao caso, a empresa descobriu que as credenciais de um funcionário foram comprometidas depois do atacante ter garantido o controlo de uma conta pessoal no Google.

De acordo com a Cisco, o cibercriminoso, com ligações ao grupo UNC2447, ao Lapsus$, e aos grupos de resgate de Yanluowang, recorreu a uma série de ataques de phishing de voz sob disfarce de várias organizações. Tentou convencer as vítimas a aceitar notificações push de multi factor authentication (MFA), tendo conseguido obter a aceitação de uma MFA e, consequentemente, o acesso à VPN.

Uma vez no sistema, o cibercriminoso realizou uma série de atividades para manter o acesso, minimizar o rasto e, ao mesmo tempo, aumentar o nível e acesso aos sistemas dentro do ambiente. Foi depois removido do sistema, tentando repetidamente recuperar o acesso nas semanas que se seguiram ao ataque.