Las grandes compañías tecnológicas y los gigantes de TI tampoco son ajenos al ransomware. Sus medidas de seguridad más fuertes no siempre las protegen de estas amenazas. Porque incluso los colosos también cuentan con eslabones de la cadena más débiles.
Cisco ha confirmado que hace unos meses sufrió un acceso no autorizado por parte de un tercero. El ataque habría sido realizado por un broker de acceso inicial con vínculos con un grupo deuso denominado UNC2447 y la pandilla de ransomware Yanluowang.
"Cisco experimentó un incidente de seguridad en nuestra red corporativa a finales de mayo e inmediatamente tomamos acción para contener y erradicar a los ciberdelincuentes", ha comentado un portavoz de la compañía a Bleeping Computer.
El fabricante aseguró que no se identificó ningún impacto en su negocio como resultado del incidente. Esto haría referencia tanto a los productos o servicios de Cisco, los datos confidenciales de clientes o la información confidencial de empleados, la propiedad intelectual o las operaciones de la cadena de suministro.
“El 10 de agosto, los actores de amenazas publicaron una lista de archivos de este incidente de seguridad en la dark web", han reconocido. En total podrían haberse filtrado 2,8 GB de datos.
Cisco también explica que han implementado medidas adicionales para "proteger nuestros sistemas" y "estamos compartiendo detalles técnicos para ayudar a proteger a la comunidad de seguridad en general”.
El origen: un empleado
Como ocurre en muchos de estos casos, la puerta de entrada del ransomware ha sido un trabajador de Cisco. Mediante un ataque de phishing los cibermalos consiguieron acceder a sus credenciales de su cuenta de Google. Así, una cosa llevó a la otra y los hackers pudieron entrar en la VPN de Cisco.
El fabricante expulsó al 'okupa' de la red y logró parar sus tentativas para volver. Según cuentan, realizó numerosos intentos durante las semanas siguientes. Después de la violación Cisco realizó un restablecimiento de contraseña en toda la organización.
Se desconoce a cuánto habría ascendido la cuantía del rescate solicitado por los ciberdelincuentes.