Recevez chaque jour toute l'actualité du numérique

x

Cisco victime d'une cyberattaque

Au tour de Cisco d'être confronté à une cyberattaque. L'entreprise américaine spécialiste de l'IT et des réseaux a été victime d'un hacker en lien avec les groupes Lapsus$, UNC2447 et Yanluowang.
Twitter Facebook Linkedin Flipboard Email
×

Cisco victime d'une cyberattaque
Cisco victime d'une cyberattaque © Flickr - Diesmer Ponstein

Cisco a découvert fin mai dernier avoir été victime d'une cyberattaque. L'entreprise américaine spécialiste de l'IT et des réseaux a détaillé ces informations dans un poste de blog le 10 août 2022, après que le hacker a divulgué une liste de fichiers volés sur le dark web. "Nous n'avons identifié aucune preuve suggérant que l'attaquant ait eu accès à des systèmes internes critiques, tels que ceux liés au développement de produits, à la signature de code, etc.", tente de rassurer Cisco.
 

piratage d'un compte google et appel téléphonique

Cisco explique que les informations d'identification d'un employé ont été compromises après qu'un attaquant a pris le contrôle d'un compte Google personnel où les informations d'identification enregistrées dans le navigateur de la victime étaient synchronisées. Puis, l'attaquant a mené une série d'attaques de phishing vocal : se faisant passer pour diverses organisations de confiance, il a tenté de convaincre l'employé d'accepter les notifications push d'authentification multi-facteurs (MFA) initiées par l'attaquant. Une fois obtenues, il a pu accéder au VPN de la personne ciblée.

Le cybercriminel a ensuite mené des actions pour maintenir son accès, voire augmenter son niveau d'accès à l'environnement. Cisco explique lui avoir retiré son accès, mais que l'attaquant a continué à essayer de se connecter sans succès.

Un lien avec Lapsus$ ?

Cisco semble avoir identifié l'attaquant comme étant un intermédiaire – un initial access broker (IAB) – en lien avec les groupes cybercriminels UNC2447, Lapsus$ ainsi que Yanluowang. Les IAB tentent d'obtenir un accès privilégié aux réseaux informatiques d'entreprise, puis le vendent à d'autres hackers.

UNC2447 est un groupe avec des motivations financières qui a ciblé des entreprises en Europe et en Amérique du Nord à l'aide de ransomwares. Le groupe Yanluowang utilise des rançongiciels contre les entreprises américaines depuis août 2021, ajoute Bloomberg. Enfin, le groupe Lapsus$ a été mis en avant à l'occasion d'attaques très médiatisées contre Okta, Microsoft, Nvidia et Samsung. La police britannique a arrêté en mars dernier des membres présumés du groupe Lapsus$.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.