La empresa de seguridad Arctic Wolf advirtió que el ransomware Lorenz está explotando una vulnerabilidad crítica en los dispositivos Mitel MiVoice VoIP para infiltrarse en las redes corporativas..
Déjame recordarte que también escribimos eso. Ransomware publica datos robados de cisco.
lorenz ha estado activo desde al menos 2021 y se dedica a la habitual doble extorsión: no sólo cifrar los archivos en las máquinas de sus víctimas, pero también robando los datos de las empresas afectadas, y luego amenazarlos con liberarlos si no reciben un rescate.
El año pasado, al grupo se le atribuyó un ataque al proveedor de EDI Comunicaciones de comunicación, y este año, Los investigadores han registrado la actividad de Lorenz en los EE.UU., China y México, donde los piratas informáticos atacaron a las pequeñas y medianas empresas.
Como Lobo ártico analistas ahora informe, el grupo de hackers está explotando el CVE-2022-29499 vulnerabilidad, descubierto y parcheado en junio 2022. Este error en Mitel Los dispositivos MiVoice VoIP permiten la ejecución remota de código arbitrario (ICE) y la creación de un shell inverso en la red de la víctima.
Las soluciones VoIP de Mitel son utilizadas por organizaciones y gobiernos en sectores de misión crítica en todo el mundo.. Según la información experto en seguridad Kevin Beaumont, actualmente hay más de 19,000 Dispositivos abiertos a ataques a través de Internet..
Lea también nuestro artículo sobre Métodos que utilizan los piratas informáticos para infectarle con ransomware.
En general, Las tácticas de Lorenz son similares a las descritas. en el informe del Multitud de huelga compañía, que descubrió este error y monitoreó el ransomware que lo usó. Así que, después del compromiso inicial, Lorenz despliega una copia del Cincel herramienta de código abierto para hacer túneles TCP en la red de la empresa afectada y la utiliza para moverse hacia los lados.
Al mismo tiempo, Los expertos de Arctic Wolf señalan que después de que un dispositivo Mitel se ve comprometido, Los piratas informáticos esperan alrededor de un mes., y sólo entonces comienzan a desarrollar aún más su ataque.
Los investigadores escriben que los piratas informáticos utilizan herramientas conocidas y ampliamente utilizadas para crear un volcado de credenciales y su posterior reconocimiento.. Luego, el grupo comienza el movimiento lateral utilizando credenciales comprometidas. (incluidos los de una cuenta de administrador de dominio pirateada).
Antes de cifrar los archivos de la víctima, Lorenz roba información usando el ArchivoZilla aplicación para compartir archivos. BitLocker se utiliza para cifrar los archivos de la víctima posteriormente.