Santiago, 11 de agosto de 2022 – Exactamente el 24 de mayo del presente año el grupo de ransomware Yanluowang entró a la red corporativa de la empresa, logrando robar archivos e información, para luego extorsionar a la entidad por la supuesta filtración que ellos ya mantenían. Sin embargo, lo sucedido se mantenía en secreto y recién ayer CISCO confirmó este hecho, revelando que los atacantes solamente obtuvieron información no confidencial.
El inicio del ataque de mayo se dirige a una cuenta personal de Google de un empleado de la empresa, que fue atacado en línea luego de tener guardadas las credenciales en el navegador de su escritorio, dejando así entrar al grupo ransomware rápidamente al control de la cuenta, con el que robó información y datos del sistema corporativo de Cisco.
Inmediatamente después el Cisco Security Incident Response (CSIRT) y Talos se dieron cuenta de este hecho, y desde ese momento ambos han estado trabajando para proteger y remediar la seguridad de la empresa. Es por esto que la empresa ha manifestado que el atacante Yanluowang no ha conseguido llegar tan lejos, ya que el agresor no obtuvo acceso al sistema interno crítico de la entidad y demás productos que presentaría un riesgo vital para la compañía.
¿Cómo actuó el ransomware?
A través de una serie de ataques de phishing de voz, el ciberataque se hizo presente, bajo la apariencia de varias organizaciones confiables que intentaba convencer a la víctima aceptar las notificaciones de autenticación multifactor, que fueron iniciadas por el mismo, para lograr así, la aceptación de estos mensajes y disponer del acceso al VPN del usuario perjudicado. Posteriormente, el grupo de atacantes realizó varias actividades para mantenerse dentro del acceso y así aumentar sus niveles de entradas en la red Cisco.
Más tarde, la organización logra eliminarlos con éxito, permitiendo identificar también en el proceso, la unión que mantenía el grupo de ransomware Yanluowang con los actores de amenazas Lapsus$ y la pandilla de ciberdelincuencia UNC2447, que tuvieron como objetivo ser intermediario en el acceso inicial del ciberataque.
Cabe destacar que el ransomware Yanluowang es un tipo de malware relativamente peligroso y desconocido, ya que de acuerdo a sus inicios, este grupo fue detectado por primera vez a finales del año 2021 y que sus principales víctimas se han dirigido a las grandes empresas.
