L'acteur malveillant, probablement le groupe Lapsus$, utilise le malware Yanluowang. Ce groupe aurait réussi à exfiltrer pas loin de 3 Go de données à l'entreprise américaine. 🧵2/7
Selon les éléments rapportés par Cisco, l'accès initial a été permis grâce à la compromission d'un compte Google personnel d'un·e employé·e. Cette personne y synchronisait ses mots de passes professionnels. 🧵3/7
Pour le second facteur, l'attaquant aurait massivement envoyé des notifications de 2FA en espérant que l'employé·e les accepte, tout en se faisant passer pour une entreprise importante au téléphone pour convaincre l'employé·e de valider. 🧵4/7
Une fois l'accès initial obtenu, l'acteur a effectué une élévation de privilèges pour monter administrateur. Ce qui lui a permis d'avoir les pleins pouvoir sur l'infrastructure. 🧵5/7
Cisco n'a pas trouvé de trace de ransomware dans son réseau. L'attaquant revendique néanmoins avoir exfiltré ±3 Go de données sensibles. La firme étasunienne affirme cependant que l'acteur malveillant n'a pas pu accéder aux systèmes les plus critiques. 🧵7/7
Cisco n'a pas trouvé de trace de ransomware dans son réseau. L'attaquant revendique néanmoins avoir exfiltré ±3 Go de données sensibles. La firme étasunienne affirme cependant que l'acteur malveillant n'a pas pu accéder aux systèmes les plus critiques. 🧵7/7