Хакерська група Yanluowang опублікувала вкрадені у Cisco дані ще у травні 2022 року. Представники Cisco визнали, що витік даних мав місце, але все ж таки наполягають на тому, що інцидент ніяк не вплинув на бізнес компанії.
Нагадаю, що минулого місяця представники Cisco підтвердили, що ще у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі.
Тоді в компанії наголосили, що хакери взагалі нічого серйозного не викрали, їм вдалося лише викрасти не конфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.
Самі хакери зв’язалися з Bleeping Computer та повідомили журналістам, що вкрали у компанії 2,75 ГБ даних (приблизно 3100 файлів), включаючи вихідні коди та секретні документи. За словами журналістів, багато файлів являли собою угоди про нерозголошення, дампи даних та технічну документацію.
Наприклад, зловмисники надали виданню відредаговану версію угоди та показали скріншот адміністративної консолі VMware vCenter на cisco.com. На знімку екрана показані численні віртуальні машини, у тому числі одна під назвою GitLab, що використовується Cisco CSIRT.
При цьому Cisco продовжувала заявляти, що компанія не має доказів того, що первинний код був вкрадений. Нагадаю, ми також повідомляли, що зламування Cisco пов’язане з російськомовними хакерами з Evil Corp.
Як тепер повідомляє Bleeping Computer, члени Yanluowang почали зливати вкрадені дані до Даркнету. На цьому фоні Cisco остаточно підтвердила витік даних, але компанія продовжує наполягати на тому, що цей інцидент ніяк не вплинув на бізнес і витік інформації не змінює початкової оцінки інциденту.
11 вересня 2022 року зловмисники, які раніше опублікували в даркнеті список імен файлів, пов’язаних з інцидентом, розмістили фактичний вміст тих самих файлів у тому ж місці в даркнеті. Вміст цих файлів відповідає тому, що ми ідентифікували та розкрили. Наш попередній аналіз інциденту залишається незмінним — ми, як і раніше, не бачимо жодного впливу на наш бізнес, включаючи продукти або послуги Cisco, конфіденційні дані клієнтів, конфіденційну інформацію про співробітників, інтелектуальну власність чи процеси ланцюжка постачання.” – сказав Cisco.
Зазначу, що наприкінці серпня аналітики з кібербезпеки з eSentire опублікували звіт, в якому надали докази можливого зв’язку групи Yanluowang з відомим російськомовним хак-гуртом Evil Corp (UNC2165).