El ransomware Lorenz persigue a las pymes a través de los sistemas telefónicos VoIP de Mitel

Se ha visto a una banda de ransomware utilizando una táctica única de acceso inicial para explotar una vulnerabilidad en los dispositivos de voz sobre IP (VoIP) para violar los sistemas telefónicos corporativos, antes de pasar a las redes corporativas para cometer ataques de doble extorsión.

Investigadores de Artic Wolf Labs han descubierto el Grupo de ransomware Lorenz aprovechando una falla en los dispositivos Mitel MiVoice VoIP. El error (seguido como CVE-2022-29499) se descubrió en abril y se parchó por completo en julio, y es una falla de ejecución remota de código (RCE) que afecta al componente Mitel Service Appliance de MiVoice Connect.

Lorenz aprovechó la falla para obtener un shell inverso, después de lo cual el grupo aprovechó Chisel, un túnel TCP/UDP rápido basado en Golang que se transporta a través de HTTP, como una herramienta de túnel para violar el entorno corporativo. Investigadores del lobo ártico dijo esta semana. La herramienta es "principalmente útil para pasar a través de cortafuegos", según el Página de GitHub.

Los ataques muestran una evolución por parte de los actores de amenazas para usar "activos menos conocidos o monitoreados" para acceder a las redes y realizar más actividades nefastas para evitar la detección, según Arctic Wolf.

“En el panorama actual, muchas organizaciones monitorean en gran medida los activos críticos, como los controladores de dominio y los servidores web, pero tienden a dejar los dispositivos de VoIP y los dispositivos de Internet de las cosas (IoT) sin un monitoreo adecuado, lo que permite a los actores de amenazas afianzarse en un entorno. sin ser detectado”, escribieron los investigadores.

La actividad subraya la necesidad de que las empresas controlen todos los dispositivos externos en busca de posibles actividades maliciosas, incluidos los dispositivos VoIP e IoT, dijeron los investigadores.

Mitel identificó CVE-2022-29499 el 19 de abril y proporcionó un script para las versiones 19.2 SP3 y anteriores, y R14.x y anteriores como solución alternativa antes de lanzar la versión R19.3 de MiVoice Connect en julio para remediar completamente la falla.

Detalles del ataque

Lorenz es un grupo de ransomware que ha estado activo desde al menos febrero de 2021 y, como muchas de sus cohortes, realiza doble extorsión de sus víctimas extrayendo datos y amenazando con exponerlos en línea si las víctimas no pagan el rescate deseado en un cierto período de tiempo.

Durante el último trimestre, el grupo se ha centrado principalmente en pequeñas y medianas empresas (PYMES) ubicadas en los Estados Unidos, con valores atípicos en China y México, según Arctic Wolf.

En los ataques que identificaron los investigadores, la actividad maliciosa inicial se originó en un dispositivo Mitel ubicado en el perímetro de la red. Una vez que estableció un shell inverso, Lorenz hizo uso de la interfaz de línea de comandos del dispositivo Mitel para crear un directorio oculto y procedió a descargar un binario compilado de Chisel directamente desde GitHub, a través de Wget.

Luego, los actores de amenazas cambiaron el nombre del binario Chisel a "mem", lo descomprimieron y lo ejecutaron para establecer una conexión con un servidor Chisel que escuchaba en hxxps[://]137.184.181[.]252[:]8443, dijeron los investigadores. Lorenz omitió la verificación del certificado TLS y convirtió al cliente en un proxy SOCKS.

Vale la pena señalar que Lorenz esperó casi un mes después de violar la red corporativa para realizar una actividad de ransomware adicional, dijeron los investigadores. Al regresar al dispositivo Mitel, los actores de amenazas interactuaron con un shell web llamado "pdf_import_export.php". Poco después, el dispositivo Mitel inició una capa inversa y un túnel Chisel nuevamente para que los actores de amenazas pudieran saltar a la red corporativa, según Arctic Wolf.

Una vez en la red, Lorenz obtuvo credenciales para dos cuentas de administrador privilegiadas, una con privilegios de administrador local y otra con privilegios de administrador de dominio, y las usó para moverse lateralmente por el entorno a través de RDP y, posteriormente, a un controlador de dominio.

Antes de cifrar archivos con BitLocker y Lorenz ransomware en ESXi, Lorenz exfiltró datos con fines de doble extorsión a través de FileZilla, dijeron los investigadores.

Mitigación de ataques

Para mitigar los ataques que pueden aprovechar la falla de Mitel para lanzar ransomware u otra actividad de amenaza, los investigadores recomiendan que las organizaciones apliquen el parche lo antes posible.

Los investigadores también hicieron recomendaciones generales para evitar el riesgo de los dispositivos perimetrales como una forma de evitar los caminos hacia las redes corporativas. Una forma de hacer esto es realizar escaneos externos para evaluar la huella de una organización y fortalecer su entorno y postura de seguridad, dijeron. Esto permitirá a las empresas descubrir activos que los administradores pueden no haber conocido para que puedan estar protegidos, así como ayudar a definir la superficie de ataque de una organización en todos los dispositivos expuestos a Internet, señalaron los investigadores.

Una vez que se identifican todos los activos, las organizaciones deben asegurarse de que los críticos no estén directamente expuestos a Internet, eliminando un dispositivo del perímetro si no es necesario que esté allí, recomendaron los investigadores.

Artic Wolf también recomendó que las organizaciones activen el registro de módulos, el registro de bloques de scripts y el registro de transcripciones, y envíen registros a una solución de registro centralizada como parte de su configuración de registro de PowerShell. También deben almacenar los registros capturados externamente para que puedan realizar un análisis forense detallado contra las acciones evasivas de los actores de amenazas en caso de un ataque.