Il 10 febbraio 2025, Cisco ha subito una significativa breccia di dati, con credenziali sensibili estratte dalla sua rete interna e infrastruttura di dominio[1]. Il gruppo ransomware Kraken è stato accusato di aver violato la sicurezza di Cisco, pubblicando un dataset online che include username, identificatori di sicurezza (SIDs) e hash delle password NTLM. Questo articolo esamina i dettagli della breccia, i rischi associati e le misure di sicurezza raccomandate per mitigare gli effetti di tale attacco.
Dettagli della Breccia
La breccia di dati è stata attribuita al gruppo ransomware Kraken, noto per le sue azioni aggressive e la capacità di mantenere accesso persistente alle reti delle vittime. Il dataset pubblicato contiene informazioni sensibili estratte dall’ambiente di directory attiva di Windows di Cisco, utilizzando strumenti di dumping di credenziali come Mimikatz, pwdump o hashdump[1].
Il dataset include:
- Username e Dominio: Identifica gli utenti e i relativi domini.
- Identificatore Relativo (RID): Unico identificatore per conti utente.
- Hash NTLM: Rappresentazione hashata delle password che può essere craccata tramite attacchi di forza bruta o dizionario.
Tra i conti compromessi ci sono:
- Conti amministrativi privilegiati (ad esempio,
Administrator:500). - Conti utente regolari.
- Conti di servizio e macchina (ad esempio,
ADC-SYD-P-1$,ADC-RTP-P-2$) legati ai controller di dominio. - Account Kerberos Ticket Granting Ticket (krbtgt).
L’esposizione di hash NTLM è particolarmente preoccupante, poiché gli attaccanti potrebbero utilizzarli per accedere non autorizzati e elevare i privilegi attraverso tecniche come Pass-the-Hash o Kerberoasting[1].
Rischi Associati
La breccia di dati potrebbe permettere agli attaccanti di:
- Elevare i privilegi all’interno della rete di Cisco.
- Deployare ransomware o payload malici.
- Muoversi lateralmente tra sistemi e stabilire accesso persistente attraverso metodi come Golden Ticket o Silver Ticket.
- Estrarre dati sensibili aziendali e di clienti.
L’inclusione di credenziali dei controller di dominio nel dataset indica che gli attaccanti potrebbero aver ottenuto un accesso profondo alla rete di Cisco, permettendo ulteriori sfruttamenti dell’infrastruttura[1].
Misure di Sicurezza Raccomandate
Per affrontare questo tipo di breccia, gli esperti di sicurezza raccomandano:
- Forzate il reset delle password per tutti i conti utente e di servizio compromessi.
- Disabilitare l’autenticazione NTLM dove possibile, per ridurre i rischi di reutilizzo delle credenziali.
- Implementare l’autenticazione a fattore multipla (MFA) per mitigare l’impatto delle credenziali compromesse.
- Monitorare i registri di accesso per rilevare attività non autorizzate e tentativi di escalation dei privilegi.
- Migliorare la monitoraggio della rete per identificare ulteriori tentativi di accesso non autorizzato[1].
La breccia di dati di Cisco da parte del gruppo ransomware Kraken sottolinea la crescente prevalenza degli attacchi basati su credenziali e l’importanza di misure di sicurezza robuste. Gli organizzazioni devono rimanere vigili adottando difese proattive come la detezione e risposta degli endpoint (EDR), politiche di password forti e audit regolari dei sistemi di autenticazione.
