A empresa de segurança Arctic Wolf alertou que o ransomware Lorenz está explorando uma vulnerabilidade crítica em dispositivos VoIP Mitel MiVoice para se infiltrar em redes corporativas.
Deixe-me lembrá-lo de que também escrevemos isso Ransomware publica dados roubados de Cisco.
Lorenz está ativo desde pelo menos 2021 e está envolvido na habitual dupla extorsão: não apenas criptografando os arquivos nas máquinas de suas vítimas, mas também roubando os dados das empresas afetadas, e depois ameaçando libertá-los se não receberem um resgate.
Ano passado, o grupo foi creditado por um ataque ao provedor de EDI Comunicações de Comportamento, e este ano, pesquisadores registraram atividade de Lorenz nos EUA, China e México, onde hackers atacaram pequenas e médias empresas.
Como Lobo Ártico analistas agora informe, o grupo de hackers está explorando o CVE-2022-29499 vulnerabilidade, descoberto e corrigido em junho 2022. Este bug em Mitel Dispositivos MiVoice VoIP permitem execução remota de código arbitrário (RCE) e a criação de um shell reverso na rede da vítima.
As soluções VoIP da Mitel são utilizadas por organizações e governos em setores de missão crítica em todo o mundo. De acordo com informações especialista em segurança Kevin Beaumont, existem atualmente mais de 19,000 dispositivos abertos a ataques pela Internet.
Leia também nosso artigo sobre Métodos que os hackers usam para infectar seu ransomware.
Em geral, As táticas de Lorenz são semelhantes às descritas no relatório do CrowdStrike empresa, que descobriu esse bug e monitorou o ransomware que o utilizou. Então, após o compromisso inicial, Lorenz implanta uma cópia do Formão ferramenta de código aberto para tunelamento TCP na rede da empresa afetada e a usa para se mover lateralmente.
Ao mesmo tempo, Os especialistas da Arctic Wolf observam que depois que um dispositivo Mitel é comprometido, hackers esperam cerca de um mês, e só então começar a desenvolver ainda mais seu ataque.
Os pesquisadores escrevem que os hackers usam ferramentas conhecidas e amplamente utilizadas para criar um despejo de credenciais e posterior reconhecimento. O agrupamento então inicia o movimento lateral usando credenciais comprometidas (incluindo aqueles de uma conta de administrador de domínio hackeada).
Antes de criptografar os arquivos da vítima, Lorenz rouba informações usando o FileZilla aplicativo de compartilhamento de arquivos. BitLocker é usado para criptografar os arquivos da vítima posteriormente.