A Cisco confirmou na última sexta-feira em publicações na web a ocorrência em Maio de um incidente envolvendo um ataque de ransomware bloqueado em suas redes. Na sua central de segurança, a empresa publicou um comunicado com o títulio “Resposta a eventos da Cisco: Incidente de segurança de rede corporativa”; ao mesmo tempo, a divisão Talos publicou um relatório detalhando o assunto intitulado “Cisco Talos compartilha insights relacionados ao recente ataque cibernético à Cisco”.

O assunto surgiu também no Twitter, onde o perfil @Gi7w0rm informou o ataque e a autoria assumida por parte de um grupo chamado Yanluowang, que teria roubado 2,8GB de dados de um computador que conseguiu contaminar.

Durante a investigação, foi determinado que as credenciais de um funcionário da Cisco foram comprometidas depois que um invasor obteve o controle de uma conta pessoal do Google, onde as credenciais salvas no navegador da vítima estavam sincronizadas. O invasor realizou uma série de ataques sofisticados de phishing de voz sob o disfarce de várias organizações confiáveis ​,​tentando convencer a vítima a aceitar notificações push de autenticação multifator (MFA). O invasor finalmente conseguiu obter uma aceitação por push de MFA, obtendo acesso à VPN do usuário.