Cisco 近日否认了 Kraken 勒索软件团伙关于其内部数据泄露的指控，称泄露的数据实际上来源于 2022 年已解决的安全事件。本文将详细解析 Cisco 的官方回应及事件背景。

Kraken 勒索软件团伙的指控

Kraken 勒索软件团伙近日在其暗网泄露站点上发布了一批 据称从 Cisco 内部网络窃取的敏感数据，并声称已成功入侵该公司的系统。

据 Cyber Press 报道，泄露的数据包括：

• Cisco Windows Active Directory 账户凭据
• 用户名及其所属域
• 唯一相对标识符（RID）
• NTLM 哈希格式存储的密码

此外，被泄露的账户涵盖 管理员账户、普通用户账户、域控制器相关的服务账户和计算机账户，甚至包括 Kerberos 票据授予票证（krbtgt）账户。

攻击者可能使用了 Mimikatz、pwdump 或 hashdump 等 凭据转储工具 来窃取这些数据。这些工具通常被 高级持续性威胁（APT） 组织和网络犯罪分子用于提取存储在系统内存中的凭据。

攻击者在泄露数据的同时，还留下了一条带有威胁意味的信息：

“你们对我们撒谎，并试图拖延时间踢我们出去。我们很快会再见面，下一次你们将毫无还手之力。”

Cisco 的官方回应

针对 Kraken 勒索软件团伙的指控，Cisco 官方迅速发表声明 予以否认，称所谓的“新数据泄露”其实与 2022 年 5 月的一次已知安全事件 相关，该事件早已得到解决，不会对客户造成任何影响。

“Cisco 了解到有关安全事件的相关报道。事实上，该事件发生在 2022 年 5 月，并已在当时得到了妥善处理。经过调查，我们确认此次事件 未对客户产生影响。”

——Cisco 官方声明

据 Hackread.com 报道，2022 年的数据泄露 起因于 Cisco 一名员工的个人 Google 账户被入侵，该账户存储了部分企业凭据。攻击者通过 语音钓鱼（Vishing） 技术绕过了 多因素认证（MFA），最终获取了该员工的 VPN 访问权限。

Cisco 证实，其安全响应团队（CSIRT）与 Talos 研究团队已在 2022 年成功清除了攻击者的访问权限，并在之后几周内 阻止了攻击者多次尝试重新入侵的行为。

🔍 2022 年事件的幕后黑手

当时，Cisco 认为此次入侵的幕后黑手是 初始访问代理（IAB），其与 UNC2447 组织有关联。UNC2447 曾使用 FiveHands 恶意软件 进行攻击，同时也与 Lapsus$ 黑客组织 和 Yanluowang 勒索软件团伙 存在关联。

Cisco 进一步澄清，该事件并未影响以下关键系统：

✅ 生产环境
✅ 代码签名基础架构
✅ 核心内部系统

数据泄露的影响与安全建议

虽然 Kraken 团伙公布的数据源自 2022 年的旧事件，但其 再次曝光 仍然凸显了 凭据泄露 在企业安全中的严重性。企业需要采取更严密的安全措施，防范类似攻击。

🔹 可能的安全风险

🚨 身份盗窃：泄露的 电子邮件地址和电话号码 可能被黑客用于 精准钓鱼攻击。
🔐 凭据滥用：如果聊天记录中包含 API 密钥或企业账户密码，攻击者可能会 尝试访问企业系统。
💰 财务欺诈：泄露的数据可能包含 企业账单信息或商业机密，导致 经济损失或企业间谍活动。

🛡 Cisco 用户如何保护自己？

🔄 立即更改密码，避免重复使用同一密码
✅ 启用多因素认证（2FA），增强账户安全性
🚨 警惕钓鱼邮件，避免点击可疑链接
🔍 检查 API 访问记录，撤销旧 API 密钥并生成新密钥
🛑 企业级用户可考虑禁用 NTLM 认证，以降低凭据窃取风险

总结：Cisco 事件的启示

此次 Kraken 团伙的泄露事件 虽未涉及新数据，但仍然引发了人们对 凭据安全 和 企业数据保护 的高度关注。

这次事件也再次提醒企业：凭据管理、强认证机制和安全监控是防范网络攻击的关键。希望 Cisco 及其他企业能从此次事件中吸取经验，进一步提升安全策略，防止类似事件再次发生。

🔎 你认为企业应该如何加强数据安全？欢迎留言讨论！