阎罗王勒索软件入侵思科，窃取了2.8GB数据

思科证实，阎罗王（yanluowang）勒索软件团伙在 5 月下旬入侵了该公司 络，攻击者以泄露被盗文件来勒索他们。

攻击者从受感染员工账户相关联的 Box 文件夹中获取非敏感数据，思科发言人表示，此事件未对业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。

8 月 10 日，攻击者将获取的泄露文件列表发布到暗 。

Yanluowang攻击者在劫持员工的个人 Google 账户（包含从其浏览器同步的账 密码）后，使用员工被盗的账 密码获得了对思科 络的访问权限。攻击者通过多因素身份验证 (MFA) 推送通知诱骗思科员工，并通过一系列复杂的语音信息实施钓鱼攻击。

攻击者最终诱骗受害者接受其中一个 MFA（多因素验证） 通知，并在目标用户的上下文中获得了对 VPN 的访问权限。

一旦他们在企业 络站稳脚跟，Yanluowang勒索团伙就会尝试横向扩展到服务器和域控制器。

“他们进入 Citrix 环境，破坏了一系列 Citrix 服务器，并最终获得了对域控制器的特权访问权限。”Cisco发言人表示。

在获得域管理员后，他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，包括后门。

攻击者声称窃取了 2.75GB 的数据，其中包括大约 3,100 个文件。许多文件是保密协议、数据转储和工程图纸。

思科表示，尽管Yanluowang勒索团伙以加密受害者文件而闻名，但在本次攻击中没有发现勒索软件的部署。

思科表示：“我们以中等到高度的信心评估这次攻击是由一个先前被确定与UNC2447有关的 络犯罪团伙、Lapsus$ 威胁行为者组织和 Yanluowang 勒索软件团伙有联系的初始访问代理的对手进行的。”

Yanluowang（阎罗王）勒索软件团伙最早由赛门铁克披露，Yanluowang（阎罗王）勒索软件加密破坏的文件扩展名被修改为.Yanluowang，该团伙因此得名。

赛门铁克做这条新闻时，用关公头像来表示阎罗王，一看就是不懂中文

Yanluowang勒索软件团伙在今年6月底声称入侵美国零售商沃尔玛，破坏了沃尔玛的 络，加密了40,000 至 50,000 台设备，勒索该公司5500万美元，但遭到沃尔玛否认。

参考链接：www.bleepingcomputer.com