黑客团伙阎罗王攻击思科并且窃取部分数据 思科表示没有被勒索软件感染

阎罗王 (Yanluowang) 是赛门铁克威胁追踪团队发现的勒索软件，该勒索软件的目标是某些特定的大型企业。

也就是黑客目标是具有针对性的并非广泛撒网面向家庭消费者，毕竟对黑客来说家庭消费者中招都直接重装。

目前安全公司对阎罗王背后的团伙知之甚少，但该勒索软件已经袭击中国、美国、土耳其和巴西的多家公司。

最新遭到阎罗王攻击的是美国科技巨头思科，阎罗王团伙通过钓鱼获得思科员工账号然后作为跳板渗透内网。

尽管阎罗王是个专注于加密勒索软件的黑客团伙，但在此次攻击中思科内部设备并未被阎罗王安装勒索软件。

从目前事件调查来看应该是阎罗王获得的权限不够或时间不足，导致只能在窃取部分非关键数据后立即撤退。

此次攻击的发生时间是五月，思科当时立即采取行动阻断攻击，因此产品、服务和数据等并未受到任何影响。

本月阎罗王将窃取的数据的文件列表公布到暗网论坛中，思科这才就此事发布回应并公布了大致的攻击细节。

另外虽然只有 2.75GB 数据但是阎罗王还是发邮件催着思科支付赎金，只不过吧，思科对此好像都没有理会。

这次被钓鱼的思科员工其实还是挺冤枉的，因为阎罗王发起复杂的MFA疲劳攻击，大多数用户可能都会中招。

MFA即多因素认证，黑客利用多种手段诱导思科员工接受多因素认证推送通知，然后再伪造虚假的安全通知。

甚至最后还用上语音网络钓鱼攻击，最终这名思科员工的谷歌账号被劫持，谷歌浏览器同步的密码全部泄露。

随后攻击者利用谷歌浏览器里保存的账号密码进入思科内网、获得域控服务器的特权访问并破坏部分服务器。

到这里阎罗王并未安装勒索软件而是部署一系列后门程序，但思科本身也是安全公司因此很快就检测到问题。

然而即便如此黑客在后续几周不断地尝试重新获取管理权限，为此思科安全团队开发内部工具批量检测后门。

最终黑客还是放弃并且只窃取少量数据，思科方面检查后发现内部基础设施基本没事，关键数据也安全无虞。