Uma gangue de ransomware foi vista usando uma tática única de acesso inicial para explorar uma vulnerabilidade em dispositivos de voz sobre IP (VoIP) para violar sistemas telefônicos corporativos, antes de se voltar para redes corporativas para cometer ataques de dupla extorsão.
Pesquisadores do Artic Wolf Labs descobriram o Grupo de ransomware Lorenz explorando uma falha nos dispositivos VoIP Mitel MiVoice. O bug (rastreado como CVE-2022-29499) foi descoberto em abril e totalmente corrigido em julho, e é uma falha de execução remota de código (RCE) que afeta o componente Mitel Service Appliance do MiVoice Connect.
Lorenz explorou a falha para obter um shell reverso, após o qual o grupo aproveitou o Chisel, um túnel TCP/UDP rápido baseado em Golang que é transportado por HTTP, como uma ferramenta de tunelamento para violar o ambiente corporativo. Pesquisadores do Lobo Ártico disse esta semana. A ferramenta é “útil principalmente para passar por firewalls”, de acordo com o Página do GitHub.
Os ataques mostram uma evolução dos agentes de ameaças para usar “ativos menos conhecidos ou monitorizados” para aceder a redes e realizar outras atividades nefastas para evitar a deteção, de acordo com a Arctic Wolf.
“No cenário atual, muitas organizações monitoram fortemente ativos críticos, como controladores de domínio e servidores web, mas tendem a deixar dispositivos VoIP e dispositivos de Internet das Coisas (IoT) sem monitoramento adequado, o que permite que os agentes de ameaças ganhem uma posição segura em um ambiente sem ser detectado”, escreveram os pesquisadores.
A atividade ressalta a necessidade das empresas monitorarem todos os dispositivos externos em busca de possíveis atividades maliciosas, incluindo dispositivos VoIP e IoT, disseram os pesquisadores.
A Mitel identificou CVE-2022-29499 em 19 de abril e forneceu um script para as versões 19.2 SP3 e anteriores, e R14.x e anteriores como uma solução alternativa antes de lançar a versão R19.3 do MiVoice Connect em julho para remediar totalmente a falha.
Detalhes do ataque
Lorenz é um grupo de ransomware que está ativo pelo menos desde fevereiro de 2021 e, como muitos de seus grupos, atua extorsão dupla de suas vítimas, exfiltrando dados e ameaçando expô-los online se as vítimas não pagarem o resgate desejado em um determinado período de tempo.
Durante o último trimestre, o grupo concentrou-se principalmente em pequenas e médias empresas (SMBs) localizadas nos Estados Unidos, com discrepâncias na China e no México, de acordo com a Arctic Wolf.
Nos ataques identificados pelos investigadores, a atividade maliciosa inicial originou-se de um dispositivo Mitel instalado no perímetro da rede. Depois de estabelecer um shell reverso, Lorenz usou a interface de linha de comando do dispositivo Mitel para criar um diretório oculto e baixou um binário compilado do Chisel diretamente do GitHub, via Wget.
Os atores da ameaça então renomearam o binário Chisel para “mem”, descompactaram-no e executaram-no para estabelecer uma conexão com um servidor Chisel que escuta em hxxps[://]137.184.181[.]252[:]8443, disseram os pesquisadores. Lorenz ignorou a verificação do certificado TLS e transformou o cliente em um proxy SOCKS.
É importante notar que Lorenz esperou quase um mês após violar a rede corporativa para realizar atividades adicionais de ransomware, disseram os pesquisadores. Ao retornar ao dispositivo Mitel, os agentes da ameaça interagiram com um shell da Web chamado “pdf_import_export.php”. Pouco tempo depois, o dispositivo Mitel iniciou novamente um shell reverso e um túnel Chisel para que os agentes da ameaça pudessem entrar na rede corporativa, de acordo com a Arctic Wolf.
Uma vez na rede, Lorenz obteve credenciais para duas contas de administrador privilegiadas, uma com privilégios de administrador local e outra com privilégios de administrador de domínio, e as usou para mover-se lateralmente pelo ambiente via RDP e posteriormente para um controlador de domínio.
Antes de criptografar arquivos usando o ransomware BitLocker e Lorenz no ESXi, Lorenz exfiltrou dados para fins de extorsão dupla via FileZilla, disseram os pesquisadores.
Mitigação de ataque
Para mitigar ataques que podem aproveitar a falha da Mitel para lançar ransomware ou outras atividades de ameaça, os pesquisadores recomendam que as organizações apliquem o patch o mais rápido possível.
Os pesquisadores também fizeram recomendações gerais para evitar riscos de dispositivos de perímetro como forma de evitar caminhos para redes corporativas. Uma maneira de fazer isso é realizar varreduras externas para avaliar a pegada de uma organização e fortalecer seu ambiente e postura de segurança, disseram. Isto permitirá às empresas descobrir activos sobre os quais os administradores podem não ter conhecimento, para que possam ser protegidos, bem como ajudar a definir a superfície de ataque de uma organização através de dispositivos expostos à Internet, observaram os investigadores.
Depois que todos os ativos forem identificados, as organizações devem garantir que os ativos críticos não sejam diretamente expostos à Internet, removendo um dispositivo do perímetro se ele não precisar estar lá, recomendaram os pesquisadores.
Artic Wolf também recomendou que as organizações ativem o Log de Módulo, o Log de Bloco de Script e o Log de Transcrição e enviem logs para uma solução de log centralizada como parte de sua configuração de Log do PowerShell. Eles também devem armazenar os logs capturados externamente para que possam realizar análises forenses detalhadas contra ações evasivas dos atores da ameaça no caso de um ataque.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
