Cisco confirma un ataque a su red informática

El gigante de las soluciones de TI, redes y ciberseguridad Cisco ha admitido haber sufrido un incidente de seguridad dirigido a su infraestructura corporativa de TI a finales de mayo de 2022. El 10 de agosto, la firma declaró que las credenciales de un empleado se vieron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google en la que se estaban sincronizando las credenciales guardadas en el navegador de la víctima. Los malhechores publicaron una lista de archivos de este incidente de seguridad en la dark web, según Cisco.

"El incidente se contuvo en el entorno informático corporativo y Cisco no identificó ningún impacto en ningún producto o servicio de Cisco, en los datos sensibles de los clientes o en la información de los empleados, en la propiedad intelectual de Cisco o en las operaciones de la cadena de suministro", ha asegurado la compañía.

Esta afirma haber tomado las medidas inmediatas para contener y erradicar al actor malicioso, al que ha vinculado con el conocido grupo de amenazas LAPSUS$. También ha precisado que ha tomado la decisión de anunciar públicamente el incidente ahora, ya que antes estaba recopilando activamente información sobre el actor malicioso para ayudar a proteger a la comunidad de seguridad.

El atacante utilizó tácticas de "phishing de voz sofisticado"

En un resumen ejecutivo del incidente, Cisco Security Incident Response (CSIRT) y el grupo inteligente de ciberseguridad de la compañía, Cisco Talos, escribieron: "El atacante llevó a cabo una serie de sofisticados ataques de phishing de voz bajo la apariencia de varias organizaciones de confianza, intentando convencer a la víctima de que aceptara las notificaciones push de autenticación multifactor (MFA) iniciadas por el atacante. El atacante finalmente logró una aceptación de MFA push, lo que les concedió acceso a la VPN en el contexto del usuario objetivo."

CSIRT y Talos no han identificado ninguna evidencia que sugiera que el atacante obtuvo acceso a sistemas internos críticos, como los relacionados con el desarrollo de productos y la firma de código, añadieron. Tras obtener el acceso inicial, el actor de la amenaza llevó a cabo actividades para mantener el acceso, minimizar los artefactos forenses y aumentar su nivel de acceso a los sistemas del entorno.

"A lo largo del ataque, observamos intentos de exfiltración de información del entorno", según Cisco, que ha confirmado que la única exfiltración de datos exitosa que ocurrió durante el ataque incluyó el contenido de una carpeta de Box que estaba asociada con la cuenta del empleado comprometido y los datos de autenticación del empleado desde el directorio activo. "Los datos de Box obtenidos por el adversario en este caso no eran sensibles. El actor de la amenaza fue eliminado con éxito del entorno y mostró persistencia, intentando repetidamente recuperar el acceso en las semanas siguientes al ataque. Sin embargo, estos intentos fueron infructuosos". El adversario intentó repetidamente establecer comunicaciones por correo electrónico con miembros ejecutivos de la organización, pero no hizo ninguna amenaza específica o demanda de extorsión. 

Ataque vinculado al grupo de amenazas LAPSUS$

Cisco evalúa con "confianza moderada a alta" que este ataque fue realizado por un adversario que ha sido identificado previamente como un agente de acceso inicial (IAB) con vínculos con la banda de ciberdelincuentes UNC2447, el grupo de actores de amenazas LAPSUS$ y los operadores de ransomware Yanluowang. "Algunos de los TTP descubiertos durante el curso de nuestra investigación coinciden con los de LAPSUS$... un grupo de actores de amenazas que, según se informa, ha sido responsable de varias violaciones notables anteriores de entornos corporativos. UNC2447 es un agente de amenazas con motivaciones financieras y con un nexo con Rusia que ha sido observado anteriormente realizando ataques de ransomware y aprovechando una técnica conocida como 'doble extorsión', en la que los datos son exfiltrados antes del despliegue del ransomware para coaccionar a las víctimas a pagar las demandas de rescate. Informes anteriores indican que UNC2447 ha sido observado operando una variedad de ransomware, incluyendo FIVEHANDS, HELLOKITTY, y más".

"Cada incidente de ciberseguridad es una oportunidad para aprender, fortalecer nuestra resiliencia y ayudar a la comunidad de seguridad en general. Cisco ha actualizado sus productos de seguridad con la inteligencia obtenida de la observación de las técnicas del mal actor, ha compartido indicadores de compromiso (IOC) con otras partes, ha contactado con las fuerzas de seguridad y otros socios", añaden desde la compañía. Cisco ha puesto en marcha un restablecimiento de contraseñas en toda la empresa tras conocer el incidente.

Reforzar la AMF, la verificación de dispositivos y la segmentación de la red para mitigar los riesgos

Cisco aconseja a las organizaciones que tomaran medidas para mitigar los riesgos asociados a este incidente, incluyendo el fortalecimiento de la MFA, la verificación de dispositivos y la segmentación de la red. "Dada la habilidad demostrada por el actor en el uso de una amplia gama de técnicas para obtener el acceso inicial, la educación del usuario es también una parte clave para contrarrestar las técnicas de evasión de MFA. Igualmente importante para la implantación de la AMF es garantizar que los empleados sepan qué hacer y cómo responder si reciben solicitudes push erróneas en sus respectivos teléfonos. También es esencial educar a los empleados sobre a quién dirigirse si surgen tales incidentes para ayudar a determinar si el evento fue un problema técnico o malicioso".

Es beneficioso implementar una fuerte verificación de los dispositivos mediante la aplicación de controles más estrictos en torno al estado del dispositivo para limitar o bloquear la inscripción y el acceso desde dispositivos no gestionados o desconocidos, añadió Cisco. La segmentación de la red es otro control de seguridad importante que las organizaciones deben emplear, ya que proporciona una mayor protección para los activos de alto valor y permite una capacidad de detección y respuesta más eficaz en situaciones en las que un adversario es capaz de obtener un acceso inicial en el entorno, según la firma.

"La recopilación centralizada de registros puede ayudar a minimizar la falta de visibilidad que resulta cuando un atacante toma medidas activas para eliminar los registros de los sistemas. Garantizar que los datos de registro generados por los puntos finales se recogen y analizan de forma centralizada en busca de comportamientos anómalos o abiertamente maliciosos puede proporcionar una indicación temprana cuando un ataque está en marcha".