Cisco mengungkap kalau mereka jadi korban serangan siber dari geng ransomware bernama Yanlouwang, namun tak sampai terkena ransomware dari geng tersebut.

Bobolnya jaringan Cisco itu berawal dari akun Google pribadi salah satu pegawainya diretas, dan mereka baru mengungkap serangan siber tersebut setelah daftar file yang diakses oleh pelaku dibocorkan di dark web, demikian dikutip detikINET dari The Register, Jumat (12/8/2022).

Dalam pernyataannya, Cisco mengklaim tak menemukan kalau peretasan tersebut berdampak pada bisnisnya. Baik itu produk ataupun layanan Cisco, data sensitif milik konsumen dan karyawan, properti intelektual, ataupun operasional rantai pasokan mereka.

Cisco Security Incident Response (CSIRT) dan Cisco Talos -- anak usaha Cisco yang merupakan perusahaan keamanan siber -- menyebutkan satu-satunya pencurian data yang terjadi berasal dari sebuah akun yang terhubung ke layanan cloud storage Box milik karyawan yang akunnya dijebol.

Hanya saja si pelaku sempat menyusup ke jaringan milik Cisco. Menurut Talos, si pelaku bisa mendapat akses ke jaringan Cisco, menjalankan sejumlah perangkat untuk MFA (multi factor authentication), dan sukses terotentifikasi ke VPN milik Cisco.

Namun saat si pelaku berusaha mencari akses lebih dalam, sistem langsung memberi notifikasi ke CSIRT, yang langsung siaga dan memantau semua celah yang mungkin disusupi. Mereka pun langsung menambah lapisan keamanan, menutup semua percobaan akses tanpa izin, dan memitigasi ancaman keamanan tersebut.

Awal mula serangan ini adalah saat akun Google pribadi milik salah seorang pegawainya diretas, dan kemudian mencuri kredensial Cisco-nya. Kemudian si pelaku menggunakan teknik phishing berbasis telepon, di mana ia berpura-pura berasal dari organisasi terpercaya dan meminta bantuan ke staf Cisco untuk meminta MFA. Dari situlah si pelaku bisa mengakses VPN internal milik Cisco.

Setelah sukses menyusup, mereka langsung masuk ke dalam server Citrix dan kemudian mendapat akses yang lebih besar, untuk masuk ke kontroler domain. Dengan akses admin itu, mereka bisa mengoperasikan bermacam hal seperti ntdsutil, adfind, dan secretsdump untuk mencuri data dan memasang backdoor dan lainnya.

Cisco kemudian bisa menghapus akses si pelaku, namun si pelaku tak menyerah. Mereka terus mencoba untuk menyusup dan mencoba mencari password pegawai Cisco yang lemah.

Si pelaku pun menghubungi sejumlah eksekutif Cisco, dan menunjukkan kalau mereka sukses mencuri data milik Cisco, yang diduga berjumlah 3.700 file dengan ukuran total 2,75GB, dan meminta uang tebusan agar data tersebut tak dibocorkan.

Meski geng hacker Yanluowang sudah mengakui kalau mereka ada di balik serangan ini, Cisco menyebut dari hasil analisis yang dilakukan, pelaku serangan ini ada hubungannya dengan UNC2447 dan Lapsus$.

"Berdasarkan artifak yang dikumpulkan, taktik, teknik, dan prosedur yang diidentifikasi (TTP), infrastruktur yang dipakai, dan melalui analisis dari backdoor yang dipakai di serangan ini, kami menilai dengan tingkat keyakinan menengah ke atas kalau serangan ini dilakukan oleh pelaku yang sebelumnya diidentifikasi sebagai initial access broker (IAB) dengan hubungan ke UNC2447 dan Lapsus$," jelas Cisco dalam pernyataannya.

Sementara itu ransomware Yanluowang biasanya dipakai untuk menyerang institusi finansial. Namun memang pernah juga dipakai untuk menyerang berbagai perusahaan di sektor lain.

Cisco mengaku tak ada ransomware yang dipakai dalam serangan ini, sekalipun taktik dan teknik serangan yang dipakai identik dengan serangan ransomware pada umumnya.

"Kami memang tak melihat adanya ransomware dipakai dalam serangan ini, TTP yang dipakai konsisten dengan aktivitas pra ransomware, yang biasanya dilanjutkan dengan penyusupan ransomware ke lingkungan korban," tambah Cisco.

Serangan ini terjadi sekitar tiga bulan sebelum Cisco mengungkapnya ke publik. Namun kini setelah pelaku mempublikasikan data yang dicuri ke dark web, Cisco baru merasa perlu untuk mengungkapnya ke publik.