Lorenz Ransomware insegue le PMI tramite i sistemi telefonici VoIP Mitel

È stato visto un gruppo di ransomware utilizzare una tattica unica di accesso iniziale per sfruttare una vulnerabilità negli apparecchi Voice-over-IP (VoIP) per violare i sistemi telefonici aziendali, prima di rivolgersi alle reti aziendali per commettere attacchi a doppia estorsione.

I ricercatori di Artic Wolf Labs hanno individuato il Gruppo ransomware Lorenz sfruttando un difetto negli apparecchi VoIP Mitel MiVoice. Il bug (tracciato come CVE-2022-29499) è stato scoperto ad aprile e completamente corretto a luglio ed è un difetto di esecuzione di codice remoto (RCE) che interessa il componente Mitel Service Appliance di MiVoice Connect.

Lorenz ha sfruttato la falla per ottenere una reverse shell, dopo di che il gruppo ha sfruttato Chisel, un tunnel TCP/UDP veloce basato su Golang trasportato su HTTP, come strumento di tunneling per violare l'ambiente aziendale, Ricercatori del lupo artico detto questa settimana. Lo strumento è "utile principalmente per passare attraverso i firewall", secondo il Pagina GitHub.

Secondo Arctic Wolf, gli attacchi mostrano un’evoluzione da parte degli autori delle minacce verso l’utilizzo di “risorse meno conosciute o monitorate” per accedere alle reti ed eseguire ulteriori attività nefaste per evitare il rilevamento.

"Nel panorama attuale, molte organizzazioni monitorano pesantemente le risorse critiche, come controller di dominio e server web, ma tendono a lasciare i dispositivi VoIP e Internet delle cose (IoT) senza un monitoraggio adeguato, che consente agli autori delle minacce di prendere piede in un ambiente senza essere rilevato”, hanno scritto i ricercatori.

L’attività sottolinea la necessità per le aziende di monitorare tutti i dispositivi rivolti verso l’esterno per potenziali attività dannose, inclusi i dispositivi VoIP e IoT, hanno affermato i ricercatori.

Mitel ha identificato CVE-2022-29499 il 19 aprile e ha fornito uno script per le versioni 19.2 SP3 e precedenti e R14.x e precedenti come soluzione alternativa prima di rilasciare MiVoice Connect versione R19.3 a luglio per correggere completamente il difetto.

Dettagli attacco

Lorenz è un gruppo di ransomware attivo almeno da febbraio 2021 e, come molti dei suoi gruppi, esegue doppia estorsione delle sue vittime esfiltrando dati e minacciando di esporli online se le vittime non pagano il riscatto desiderato entro un determinato periodo di tempo.

Secondo Arctic Wolf, nell’ultimo trimestre il gruppo si è rivolto principalmente alle piccole e medie imprese (PMI) situate negli Stati Uniti, con eccezioni in Cina e Messico.

Negli attacchi identificati dai ricercatori, l'attività dannosa iniziale ha avuto origine da un'appliance Mitel situata sul perimetro della rete. Una volta stabilita una shell inversa, Lorenz ha utilizzato l'interfaccia a riga di comando del dispositivo Mitel per creare una directory nascosta e ha proceduto a scaricare un binario compilato di Chisel direttamente da GitHub, tramite Wget.

Gli autori delle minacce hanno quindi rinominato il file binario di Chisel in "mem", lo hanno decompresso e lo hanno eseguito per stabilire una connessione con un server Chisel in ascolto su hxxps[://]137.184.181[.]252[:]8443, hanno detto i ricercatori. Lorenz ha saltato la verifica del certificato TLS e ha trasformato il client in un proxy SOCKS.

Vale la pena notare che Lorenz ha aspettato quasi un mese dopo aver violato la rete aziendale per condurre ulteriori attività di ransomware, hanno detto i ricercatori. Al ritorno al dispositivo Mitel, gli autori delle minacce hanno interagito con una shell Web denominata “pdf_import_export.php”. Poco dopo, secondo Arctic Wolf, il dispositivo Mitel ha avviato nuovamente un reverse shell e un tunnel Chisel in modo che gli autori delle minacce potessero entrare nella rete aziendale.

Una volta in rete, Lorenz ha ottenuto le credenziali per due account amministratore privilegiati, uno con privilegi di amministratore locale e uno con privilegi di amministratore di dominio, e le ha utilizzate per spostarsi lateralmente nell'ambiente tramite RDP e successivamente su un controller di dominio.

Prima di crittografare i file utilizzando BitLocker e Lorenz ransomware su ESXi, Lorenz estraeva i dati a scopo di doppia estorsione tramite FileZilla, hanno detto i ricercatori.

Mitigazione degli attacchi

Per mitigare gli attacchi che possono sfruttare la falla Mitel per lanciare ransomware o altre attività di minaccia, i ricercatori raccomandano alle organizzazioni di applicare la patch il prima possibile.

I ricercatori hanno inoltre formulato raccomandazioni generali per evitare i rischi derivanti dai dispositivi perimetrali come modo per evitare i percorsi verso le reti aziendali. Un modo per farlo è eseguire scansioni esterne per valutare l’impronta di un’organizzazione e rafforzarne l’ambiente e la posizione di sicurezza, hanno affermato. Ciò consentirà alle aziende di scoprire risorse di cui gli amministratori potrebbero non essere a conoscenza in modo da poterle proteggere, oltre a contribuire a definire la superficie di attacco di un’organizzazione sui dispositivi esposti a Internet, hanno osservato i ricercatori.

Una volta identificate tutte le risorse, le organizzazioni dovrebbero garantire che quelle critiche non siano direttamente esposte a Internet, rimuovendo un dispositivo dal perimetro se non è necessario che sia lì, hanno raccomandato i ricercatori.

Artic Wolf consiglia inoltre alle organizzazioni di attivare la registrazione dei moduli, la registrazione dei blocchi di script e la registrazione delle trascrizioni e di inviare i log a una soluzione di registrazione centralizzata come parte della configurazione di registrazione di PowerShell. Dovrebbero inoltre archiviare i log acquisiti esternamente in modo da poter eseguire analisi forensi dettagliate contro le azioni evasive da parte degli autori delle minacce in caso di attacco.