Laut Cisco hat ein Hacker sein Netzwerk über das Google-Konto eines Mitarbeiters verletzt

Der Vorfall ereignete sich im Mai, und seitdem arbeitet das Unternehmen daran, den Angriff zu beheben.„Während der Untersuchung wurde festgestellt, dass die Zugangsdaten eines Cisco-Mitarbeiters kompromittiert wurden, nachdem ein Angreifer die Kontrolle über ein persönliches Google-Konto erlangt hatte, mit dem die im Browser des Opfers gespeicherten Zugangsdaten synchronisiert wurden“, schrieb Cisco Talos.Das Unternehmen sagte, es habe keine Beweise gefunden, die darauf hindeuten, dass der Angreifer Zugang zu kritischen internen Systemen wie Produktentwicklung, Code-Signierung usw.„Der Bedrohungsakteur wurde erfolgreich aus der Umgebung entfernt und zeigte Beharrlichkeit, indem er in den Wochen nach dem Angriff wiederholt versuchte, wieder Zugang zu erlangen; diese Versuche waren jedoch erfolglos“, sagte Cisco.Nach Angaben des Unternehmens wurde der Angriff von einem Gegner durchgeführt, der zuvor als Initial Access Broker (IAB) mit Verbindungen zur UNC2447-Cybercrime-Gang, der Lapsus$-Bedrohungsakteursgruppe und Yanluowang identifiziert wurde Ransomware Betreiber.Lapsus$ ist eine Gruppe von Bedrohungsakteuren, die Berichten zufolge für mehrere frühere bemerkenswerte Verstöße gegen Unternehmensumgebungen verantwortlich war.Cisco sagte, es habe sofort nach Bekanntwerden des Vorfalls ein unternehmensweites Passwort-Reset implementiert.Das Unternehmen hat bei diesem Angriff den Einsatz von Ransomware nicht beobachtet.In vielen Fällen wurde beobachtet, dass Bedrohungsakteure auf die Backup-Infrastruktur abzielten, um die Fähigkeit einer Organisation zur Wiederherstellung nach einem Angriff weiter zu beeinträchtigen.„Die Sicherstellung, dass Backups offline sind und regelmäßig getestet werden, kann dazu beitragen, dieses Risiko zu mindern und die Fähigkeit eines Unternehmens sicherzustellen, sich nach einem Angriff effektiv zu erholen“, sagte das Unternehmen.