思科遭到勒索软件攻击，并泄露2.8GB数据

近日，思科已经证实5月份确实遭到Yanluowang勒索软件攻击，将近2.8GB的数据被窃取，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。并且，攻击者还以泄露被盗数据威胁索要赎金。目前，思科采取了额外措施来保护系统，并分享技术细节以帮助保护更广泛的安全社区。

事件详情

思科于2022年8月10日证实，Yanluowang勒索软件入侵了其公司网络，并以在线泄露被盗文件威胁勒索他们。该公司透露，攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据。安全事件发生后，该公司声称立即采取相应行动进行遏制，防范类似的网络攻击。

思科发言人表示，并未发现此事件对思科的业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日，攻击者将此次安全事件中的文件列表发布到了暗网。思科采取了额外措施来保护系统，同时，还分享技术细节以帮助保护更广泛的安全社区。

使用被盗员工凭证获得思科网络的访问权限

攻击者在劫持员工的个人 Google 帐户后，使用员工被盗的凭据获得了对思科网络的访问权限。攻击者通过多因素身份验证 (MFA) 推送说服思科员工接受该推送通知，并假冒受信任的支持组织发起的一系列复杂的语音网络钓鱼攻击。

威胁行为者诱骗受害者接受其中一个 MFA 通知，并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟，Yanluowang运营商随即横向扩展到思科服务器和域控制器。

攻击者获得了对域控制器的特权后，使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，包括后门恶意软件。 

最终，思科检测到攻击者并将其驱逐出其环境，但他们在接下来的几周内继续尝试重新获得访问权限，但这些尝试均未成功。为了帮助网络管理员和安全专业人员检测攻击中使用的恶意软件，思科为后门创建了两个新的 ClamAV 检测和一个用于特权提升的 Windows 漏洞。

黑客声称从思科窃取2.75GB数据

黑客通过电子邮件发送了一份据称在攻击期间被盗文件的目录列表。该黑客声称窃取了 2.75GB 的数据，其中包括大约 3,100 个文件。其中许多文件是保密协议、数据转储和工程图纸。此外，黑客还发送了一份在攻击中被盗的经过编辑的 NDA 文件，作为攻击的证据，并“暗示”他们破坏了思科的网络并泄露了文件。

但是，思科表示，系统上没有部署勒索软件，尽管Yanluowang团伙以加密受害者文件而闻名，但它在攻击过程中没有发现勒索软件有效载荷的证据。

勒索软件攻击的应对措施

1、对员工进行持续的网络安全教育培训；

2、部署电子邮件防护产品，对所有的电子邮件附件进行病毒扫描，保证电子邮件的安全；

3、采用多层防护的网络安全策略；

4、定期对数据进行备份，并对这些数据备份进行安全防护，避免被感染和损坏；

5、防止勒索软件扩散，可采取有效的网络隔离措施。

在当今网络攻击频繁的时代，勒索软件已经成为互联网地下黑色产业之一。企业机构和个人都是勒索软件攻击的目标和勒索的对象，因此做好网络安全防范措施，防止勒索软件攻击显得尤其重要。