Η ομάδα ransomware Lorenz χρησιμοποιεί τώρα μια κρίσιμη ευπάθεια στις συσκευές VOIP Mitel MiVoice για να παραβιάσει τις επιχειρήσεις, χρησιμοποιώντας τα τηλεφωνικά τους συστήματα για αρχική πρόσβαση στα εταιρικά τους δίκτυα.
Δείτε επίσης: Η Apple διορθώνει zero-day bug που επηρεάζει iPhone και Mac
Οι ερευνητές ασφαλείας της Arctic Wolf Labs εντόπισαν αυτή τη νέα τακτική αφού παρατήρησαν μια σημαντικό overlap με τα Tactics, Techniques, and Procedures (TTPs) που συνδέονται με επιθέσεις ransomware που εκμεταλλεύονται το σφάλμα CVE-2022-29499 για αρχική πρόσβαση, όπως ανέφερε το Crowdstrike τον Ιούνιο.
Αν και αυτά τα περιστατικά δεν συνδέονταν με μια συγκεκριμένη συμμορία ransomware, η Arctic Wolf Labs μπόρεσε να αποδώσει παρόμοια κακόβουλη δραστηριότητα στη συμμορία Lorenz με μεγάλη εμπιστοσύνη.
“Η αρχική κακόβουλη δραστηριότητα προήλθε από μια συσκευή Mitel που κάθεται στην περίμετρο του δικτύου”, αποκάλυψαν οι ερευνητές ασφαλείας σε μια έκθεση που δημοσιεύτηκε σήμερα.
“Η ομάδα Lorenz εκμεταλλεύτηκε το CVE-2022-29499, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει το component Mitel Service Appliance του MiVoice Connect, για να αποκτήσει ένα reverse shell και στη συνέχεια χρησιμοποίησε το Chisel ως εργαλείο tunnelling για περιστροφή στο περιβάλλον.”
Δείτε επίσης: Η U-Haul αποκαλύπτει data breach – εκτέθηκαν διπλώματα οδήγησης
Αυτή είναι μια σημαντική προσθήκη στο οπλοστάσιο της συμμορίας, δεδομένου ότι τα προϊόντα Mitel Voice-over-IP (VoIP) χρησιμοποιούνται από οργανισμούς σε κρίσιμους τομείς παγκοσμίως (συμπεριλαμβανομένων των κυβερνητικών υπηρεσιών), με περισσότερες από 19.000 συσκευές που εκτίθενται επί του παρόντος σε επιθέσεις μέσω Διαδικτύου, ανά ασφάλεια ο ειδικός Kevin Beaumont.
Η Mitel έχει αντιμετωπίσει την ευπάθεια δημοσιεύοντας ενημερώσεις κώδικα ασφαλείας στις αρχές Ιουνίου 2022 μετά την κυκλοφορία ενός remediation script για τις επηρεαζόμενες εκδόσεις του MiVoice Connect τον Απρίλιο.
Οι απειλητικοί φορείς εκμεταλλεύτηκαν πρόσφατα άλλα ελαττώματα ασφαλείας που επηρεάζουν τις συσκευές Mitel σε επιθέσεις DDoS που έσπασαν ρεκόρ.
Δείτε επίσης: Το Montenegro παλεύει με μαζική κυβερνοεπίθεση
Ποια είναι η ομάδα Lorenz;
Ο όμιλος ransomware Lorenz στοχεύει επιχειρηματικούς οργανισμούς σε όλο τον κόσμο τουλάχιστον από τον Δεκέμβριο του 2020, απαιτώντας εκατοντάδες χιλιάδες δολάρια ως λύτρα από κάθε θύμα.
Ο Michael Gillespie του ID Ransomware είπε στο BleepingComputer ότι ο Lorenz encryptor είναι ο ίδιος με αυτόν που χρησιμοποιήθηκε από μια προηγούμενη λειτουργία ransomware γνωστή ως ThunderCrypt.
Αυτή η συμμορία είναι επίσης γνωστή για την πώληση δεδομένων που είχαν κλαπεί πριν από την κρυπτογράφηση σε άλλους απειλητικούς παράγοντες για να πιέσουν τα θύματά τους να πληρώσουν τα λύτρα και να πουλήσουν πρόσβαση στα εσωτερικά δίκτυα των θυμάτων της σε άλλους εγκληματίες του κυβερνοχώρου μαζί με τα κλεμμένα δεδομένα.
Εάν τα λύτρα δεν πληρωθούν μετά τη διαρροή των κλεμμένων δεδομένων ως αρχεία RAR που προστατεύονται με κωδικό πρόσβασης, η ομάδα Lorenz απελευθερώνει και τον κωδικό πρόσβασης για πρόσβαση στα αρχεία που διέρρευσαν για να παρέχει δημόσια πρόσβαση στα κλεμμένα αρχεία.
Τον Ιούνιο του 2021, η ολλανδική εταιρεία κυβερνοασφάλειας Tesorion κυκλοφόρησε έναν δωρεάν ransomware decryptor Lorenz που μπορεί να χρησιμοποιηθεί για την ανάκτηση ορισμένων τύπων αρχείων, συμπεριλαμβανομένων εγγράφων του Office, αρχείων PDF, εικόνων και βίντεο.
Ο κατάλογος των προηγούμενων θυμάτων περιλαμβάνει την Hensoldt, έναν πολυεθνικό εργολάβο άμυνας με έδρα τη Γερμανία, και την Canada Post, τον κύριο ταχυδρομικό φορέα στον Καναδά.
Πηγή πληροφοριών: bleepingcomputer.com
