Lorenz Ransomware s'attaque aux PME via les systèmes téléphoniques Mitel VoIP

Un gang de ransomwares a été observé utilisant une tactique d'accès initial unique pour exploiter une vulnérabilité des appareils de voix sur IP (VoIP) afin de pirater les systèmes téléphoniques d'entreprise, avant de se tourner vers les réseaux d'entreprise pour commettre des attaques de double extorsion.

Les chercheurs d'Artic Wolf Labs ont repéré le Groupe de rançongiciels Lorenz exploitant une faille dans les appareils VoIP Mitel MiVoice. Le bug (suivi comme CVE-2022-29499) a été découverte en avril et entièrement corrigée en juillet. Il s'agit d'une faille d'exécution de code à distance (RCE) affectant le composant Mitel Service Appliance de MiVoice Connect.

Lorenz a exploité la faille pour obtenir un shell inversé, après quoi le groupe a utilisé Chisel, un tunnel TCP/UDP rapide basé sur Golang et transporté via HTTP, comme outil de tunneling pour pénétrer dans l'environnement de l'entreprise. Chercheurs d'Arctic Wolf  dit cette semaine. L'outil est "principalement utile pour traverser les pare-feu", selon le Page GitHub.

Les attaques montrent une évolution des acteurs de la menace qui utilisent des « actifs moins connus ou surveillés » pour accéder aux réseaux et mener d'autres activités néfastes pour éviter d'être détectés, selon Arctic Wolf.

« Dans le paysage actuel, de nombreuses organisations surveillent fortement les actifs critiques, tels que les contrôleurs de domaine et les serveurs Web, mais ont tendance à laisser les appareils VoIP et les appareils Internet des objets (IoT) sans surveillance appropriée, ce qui permet aux acteurs malveillants de prendre pied dans un environnement. sans être détecté », ont écrit les chercheurs.

Selon les chercheurs, cette activité souligne la nécessité pour les entreprises de surveiller tous les appareils externes pour détecter toute activité malveillante potentielle, y compris les appareils VoIP et IoT.

Mitel a identifié CVE-2022-29499 le 19 avril et a fourni un script pour les versions 19.2 SP3 et antérieures, ainsi que R14.x et antérieures, comme solution de contournement avant de publier la version R19.3 de MiVoice Connect en juillet pour corriger complètement la faille.

Détails de l'attaque

Lorenz est un groupe de ransomwares actif depuis au moins février 2021 et, comme beaucoup de ses cohortes, effectue double extorsion de ses victimes en exfiltrant les données et en menaçant de les exposer en ligne si les victimes ne paient pas la rançon souhaitée dans un certain délai.

Au cours du dernier trimestre, le groupe a principalement ciblé les petites et moyennes entreprises (PME) situées aux États-Unis, avec des valeurs aberrantes en Chine et au Mexique, selon Arctic Wolf.

Dans les attaques identifiées par les chercheurs, l'activité malveillante initiale provenait d'une appliance Mitel située sur le périmètre du réseau. Une fois le shell inversé établi, Lorenz a utilisé l'interface de ligne de commande du périphérique Mitel pour créer un répertoire caché et a procédé au téléchargement d'un binaire compilé de Chisel directement depuis GitHub, via Wget.

Les auteurs de la menace ont ensuite renommé le binaire Chisel en « mem », l'ont décompressé et l'ont exécuté pour établir une connexion avec un serveur Chisel écoutant hxxps[://]137.184.181[.]252[:]8443, ont indiqué les chercheurs. Lorenz a ignoré la vérification du certificat TLS et a transformé le client en proxy SOCKS.

Il convient de noter que Lorenz a attendu près d'un mois après avoir pénétré le réseau de l'entreprise pour mener une activité de ransomware supplémentaire, ont indiqué les chercheurs. À leur retour sur l'appareil Mitel, les auteurs de la menace ont interagi avec un shell Web nommé « pdf_import_export.php ». Peu de temps après, l'appareil Mitel a de nouveau lancé un tunnel inversé et un tunnel Chisel afin que les acteurs malveillants puissent accéder au réseau de l'entreprise, selon Arctic Wolf.

Une fois sur le réseau, Lorenz a obtenu les informations d'identification de deux comptes d'administrateur privilégiés, un avec des privilèges d'administrateur local et un avec des privilèges d'administrateur de domaine, et les a utilisés pour se déplacer latéralement dans l'environnement via RDP et ensuite vers un contrôleur de domaine.

Avant de chiffrer des fichiers à l'aide du ransomware BitLocker et Lorenz sur ESXi, Lorenz a exfiltré des données à des fins de double extorsion via FileZilla, ont indiqué les chercheurs.

Atténuation des attaques

Pour atténuer les attaques pouvant exploiter la faille Mitel pour lancer un ransomware ou d'autres activités menaçantes, les chercheurs recommandent aux organisations d'appliquer le correctif dès que possible.

Les chercheurs ont également formulé des recommandations générales pour éviter les risques liés aux dispositifs périmétriques afin d'éviter les voies d'accès aux réseaux d'entreprise. Une façon d'y parvenir consiste à effectuer des analyses externes pour évaluer l'empreinte d'une organisation et renforcer son environnement et sa posture de sécurité, ont-ils déclaré. Cela permettra aux entreprises de découvrir des actifs dont les administrateurs ne connaissaient peut-être pas afin de pouvoir les protéger, et contribuera également à définir la surface d'attaque d'une organisation sur les appareils exposés à Internet, ont noté les chercheurs.

Une fois tous les actifs identifiés, les organisations doivent s'assurer que les actifs critiques ne sont pas directement exposés à Internet, en supprimant un appareil du périmètre s'il n'a pas besoin d'y être, ont recommandé les chercheurs.

Artic Wolf a également recommandé aux organisations d'activer la journalisation des modules, la journalisation des blocs de script et la journalisation des transcriptions, et d'envoyer les journaux à une solution de journalisation centralisée dans le cadre de leur configuration de journalisation PowerShell. Ils doivent également stocker les journaux capturés en externe afin de pouvoir effectuer une analyse médico-légale détaillée des actions évasives des acteurs menaçants en cas d'attaque.