Cisco sufre ciberataque contra su red TI

Cisco ha comunicado oficialmente un incidente de seguridad que sucedió el 24 de mayo, afectando a la infraestructura TI de la compañía, vinculando el actor de amenazas detectado a los grupos Lapsus$, UNC2447 y Yanluowang.

La investigación ha reportado que las credenciales de un empleado de Cisco fueron comprometidas después de que un atacante obtuviera el control de una cuenta personal de Google en la que se estaban sincronizando las credenciales guardadas en el navegador de la víctima, empleando para ello técnicas de vishing.

De este modo, una vez que la víctima aceptó las notificaciones push de autenticación multifactor (MFA) enviadas por el atacante, este último accedió a la VPN interna. Tras identificar al atacante, se denegó su acceso a la red interna, lo que evitó que volviera a acceder a pesar de sus sucesivos intentos.

Adicionalmente, Cisco no ha identificado evidencias de despliegue de ransomware y ha bloqueado con éxito los intentos de acceso a su red interna. Además, no se ha observado ningún impacto en sus productos, servicios, datos de clientes/empleados ni en la cadena de suministro.