Le 11 septembre, le gang de rançongiciel Yanluowang a publié sur internet des données volées à Cisco. La société de San José confirme le piratage – qui a eu lieu en mai dernier – mais affirme que l’incident n’a pas eu d’incidence sur son activité.
« Au cours de l’enquête, il a été déterminé que les informations d’identification d’un employé de Cisco ont été compromises après que l’attaquant a pris le contrôle d’un compte Google personnel où les informations d’identification enregistrées dans le navigateur de la victime étaient synchronisées », écrit Cisco dans un post de blog. « L’attaquant a mené une série d’attaques sophistiquées de phishing vocal sous l’apparence de diverses organisations de confiance pour tenter de convaincre la victime d’accepter les notifications push d’authentification multifactorielle (MFA) initiées par l’attaquant. Celui-ci a réussi à obtenir l’acceptation d’un push MFA, lui accordant le VPN dans le contexte de l’utilisateur ciblé. »
Cisco poursuit en expliquant que l’attaquant « a fait preuve de persistance, en tentant à plusieurs reprises de regagner l’accès dans les semaines qui ont suivi l’attaque. Cependant, ces tentatives ont échoué. »
Selon le media spécialisé en cybersécurité BleepingComputer, le leader de Yanluowang estime que Cisco minimise la gravité de l’attaque : « Il s’agit de milliers de fichiers, pour un total de 55 Go. La cache comprenait des documents classifiés, des schémas techniques et du code source ».
De son côté, Cisco se veut rassurant : « Nous ne voyons toujours aucun impact sur nos activités, y compris sur les produits ou services de Cisco, les données sensibles des clients ou les informations sensibles des employés, la propriété intellectuelle ou les opérations de changement d’approvisionnement ».