חברת Cisco – סיסקו אישרה כי קבוצת תוכנות הכופר Yanluowang פרצה לרשת הארגונית של החברה בסוף חודש מאי השנה וכי הקבוצה ניסתה לסחוט את החברה תחת איום של הדלפת קבצים גנובים ברחבי רשת האינטרנט. דובר חברת סיסקו חשף כי ההאקרים יכלו לאסוף ולגנוב נתונים בלתי רגישים רק מתיקייה המקושרת לחשבון של עובד החברה שחשבונו נפרץ. עוד מסר דובר החברה כי סיסקו לא זיהתה כל השפעה על עסקי החברה כתוצאה מתקרית זו, כולל השפעה על מוצרים או שירותים של סיסקו, נתונים רגישים של לקוחות או מידע רגיש של עובדים, קניין רוחני או פעולות שרשרת אספקה. לאחר פרסום רשימה של קבצים מתקרית אבטחה זו ברשת האפלה, יישמה סיסקו גם אמצעים נוספים לשמירה על המערכות שלה וכן משתפת פרטים טכניים כדי לסייע בהגנה על קהילת אבטחת המידע – הוסיף הדובר.
ההאקרים של Yanluowang קיבלו גישה לרשת של סיסקו באמצעות אישורים גנובים של עובד החברה לאחר שפרצו לחשבון גוגל האישי שלו, המכיל אישורים מסונכרנים עם הדפדפן. ההאקרים הצליחו לשכנע את אותו עובד לקבל הודעות דחיפה של אימות רב-גורמי (MFA). האימות כשל ובעקבות זאת באה סדרה של התקפות דיוג קול מתוחכמות שיזמו ההאקרים אשר התחזו לארגוני תמיכה מהימנים. לבסוף עלה בידי ההאקרים לרמות את הקורבן לקבל אחת מההודעות של MFA וכך קיבלו גישה ל- VPN שלו. ברגע שהם קיבלו דריסת רגל ברשת הארגונית של החברה, פרצו מפעילי Yanluowang לשרתי Citrix ובקרי דומיין. לאחר השגת ניהול דומיין, הם השתמשו בכלים כגון ntdsutil, adfind ו- secretsdump כדי לאסוף מידע נוסף וכן, התקינו סדרה של נוזקות במערכות אליהן פרצו, לרבות דלת אחורית. סיסקו זיהתה וחסמה את ההאקרים מסביבת המחשוב שלה, אך ההאקרים המשיכו לנסות להחזיר לעצמם גישה במהלך השבועות שלאחר מכן. מסיסקו נמסר כי לאחר השגת גישה ראשונית, ההאקרים ביצעו מגוון פעילויות כדי לשמור על גישה, למזער עקבות ולהגדיל את רמת הגישה שלהם למערכות החברה.
קבוצת Yanluowang שלחו באימייל לאתר החדשות BleepingComputer רשימה של קבצים שנגנבו לכאורה במהלך המתקפה וטענו כי גנבו 2.75GB של נתונים המורכבים מכ- 3,100 קבצים. רבים מהקבצים הללו הינם הסכמי סודיות, מסמכי עבודה שוטפת, נתונים ושרטוטים הנדסיים של חברת סיסקו. כמו כן נשלח ל- BleepingComputer מסמך NDA שנגנב בתקיפה כהוכחה למתקפה וגניבת מידע מהחברה. באותו יום, הכריזה קבוצת Yanluowang על הפריצה שלה לחברת סיסקו באתר הדלפת הנתונים שלה ופרסמה את אותה רשימת ספריות שנשלחה ל- BleepingComputer.
בסיסקו טוענים שלמרות שכנופיית Yanluowang ידועה בהצפנת קבצי הקורבנות שלהן, היא לא מצאה עדות לכופרה במהלך המתקפה. כמו כן, סיסקו מעריכים שהמתקפה הזו בוצעה בשיתוף גורם שזוהה בעבר כמתווך גישה ראשוני (IAB) בעל קשרים לכנופיית פשעי הסייבר UNC2447, קבוצת האיומים Lapsus$ ומפעילי תוכנות הכופר של Yanluowang".
יצויין כי כנופיית Yanluowang טענה בעבר כי פרצה את המערכות של הרשת קמעונאית האמריקאית Walmart אשר הכחישה את המתקפה.
