Yanluowang y Lapsus$ detrás del ciberataque a Cisco: ¿qué podemos aprender de este incidente?


Imagen: Zdzisław Beksiński


por Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad — CSCT™.

El martes 10 de agosto de 2022, el grupo de ransomware Yanluowang afirmó haber vulnerado Cisco y amenazó con hacer pública esta información. Dos horas después de esta denuncia, Cisco publicó un comunicado detallado sobre el caso en su blog oficial, en el cual mencionaron que tuvieron un incidente cibernético parcial. No obstante, la fecha de detección del ataque se dio a conocer el 24 de mayo de 2022.

Un mes después de confirmar que sus sistemas fueron vulnerados, Cisco dio a conocer que el ataque fue un intento fallido de ransomware realizado por el grupo cibercriminal Lapsus$.

De acuerdo con los datos registrados, los ciberdelincuentes de Lapsus$ obtuvieron acceso a los sistemas de Cisco con un ataque de ingeniería social , el cual comenzó cuando un atacante tomó el control de la cuenta personal de Google de un empleado, quien sincronizaba sus credenciales guardadas en el navegador. Luego, en una serie de sofisticados ataques de phishing de voz (vishing), los delincuentes convencieron al empleado para que aceptara las notificaciones automáticas de autenticación multifactor, lo que les dio a los delincuentes la capacidad de iniciar sesión en la VPN corporativa como si fueran el mismo empleado.

Luego del acceso inicial, el delincuente registró nuevos dispositivos para la autenticación multifactor y verificó su identidad con Cisco VPN. Entonces el entorno se vio comprometido, el atacante elevó los privilegios administrativos y obtuvo acceso privilegiado a los controladores de dominio. El delincuente lanzó herramientas y cargas útiles para llevar a cabo diversas actividades maliciosas.

Cabe señalar que mediante el uso de phishing de voz y técnicas de omisión de autenticación multifactor, el atacante logró recibir y confirmar el código de verificación recibido por el usuario. Con este método, completaron el acceso VPN a la red, demostrando una vez más la eficacia vigente que tiene la ingeniería social.

Después de obtener acceso VPN, el atacante se apoderó de las cuentas del directorio activo, intentó ponerlas en Internet y tuvo éxito. Los expertos en ciberseguridad creen que el atacante que se apoderó de la cuenta de administrador del directorio activo podría tener acceso a muchos sistemas diferentes.

A partir de ahí, los atacantes pudieron comprometer los sistemas de Cisco, elevar los privilegios, descartar herramientas de acceso remoto, implementar Cobalt Strike y otro malware ofensivo y agregar sus propias puertas traseras al sistema.

Si bien este ataque sofisticado fue ejecutado por Lapsus$, la filtración de datos la llevó a cabo un grupo de ransomware que presuntamente está relacionado con ellos y es conocido como Yanluowang.

Además, con la superficie de ataque en expansión, debemos mantenernos alerta ante este tipo de ataques contra grandes corpotativos, porque los atacantes han acumulado más datos que nunca para atacar a este tipo de organizaciones.

¿Quién es Yanluowang?

En octubre de 2021, analistas descubrieron que el ransomware Yanluowang estaba siendo utilizado activamente por un grupo criminal que atacaba a corporaciones estadounidenses desde al menos agosto de 2021. Lo interesante del ataque fue que muchas de las herramientas, tácticas y procedimientos utilizados fueron utilizados anteriormente por el grupo criminal de ransomware, Thieflock.

Yanluowang es reconocido por atacar a organizaciones de los Estados Unidos dentro del sector bancario y financiero y, además, este grupo criminal muestra experiencia en operaciones de ransomware-as-a-service (RaaS). Aunque el grupo se centra principalmente en atacar organizaciones dentro del sector financiero, también se han dirigido a empresas de manufactura, servicios de tecnología de información, consultoría e ingeniería.

Diferentes analistas del sector especulan que Yanluowang podría estar conectado con Thieflock y Fivehands. Después de que los investigadores analizaran las tácticas y técnicas que usa este grupo criminal, notaron una posible conexión con ataques más antiguos con Thieflock, que es una operación de ransomware desarrollada por el grupo de ransomware Fivehands.

Fivehands es una variante de ransomware que se ha utilizado para robar información, ofuscar archivos, lograr el descubrimiento de redes y lograr el acceso de credenciales. A partir de abril de 2021, Fivehands fue utilizado por el grupo atacante UNC2447 para explotar una falla del software de la empresa SonicWall antes de que se solucionara.

Cuando UNC2447 aprovechó la vulnerabilidad de SonicWall, mostró capacidades avanzadas para evadir la detección y minimizar el análisis forense posterior a la intrusión, tal como ahora lo hace Yanluowang. Y aún cuando los investigadores no tienen suficientes pruebas que confirmen una conexión entre Yanluowang, Thieflock y Fivehands, se mantienen firmes en sus hipótesis de que los ciberdelincuentes detrás de Yanluowang podrían tener un antiguo afiliado de Thieflock como parte de su arsenal.

Para mayor información, visite: https://www.silikn.com/