Lorenz Ransomware merge după IMM-urile prin sistemele telefonice VoIP Mitel

O bandă de ransomware a fost văzută folosind o tactică unică de acces inițial pentru a exploata o vulnerabilitate în dispozitivele VoIP (Voice-over-IP) pentru a încălca sistemele de telefonie corporativă, înainte de a trece la rețelele corporative pentru a comite atacuri de dublă extorcare.

Cercetătorii de la Artic Wolf Labs au observat Grupul de ransomware Lorenz exploatând un defect în dispozitivele Mitel MiVoice VoIP. Bug-ul (urmărit ca CVE-2022-29499) a fost descoperit în aprilie și corectat complet în iulie și este un defect de execuție a codului de la distanță (RCE) care afectează componenta Mitel Service Appliance a MiVoice Connect.

Lorenz a exploatat defectul pentru a obține un shell invers, după care grupul a folosit Chisel, un tunel TCP/UDP rapid bazat pe Golang, care este transportat prin HTTP, ca instrument de tunel pentru a încălca mediul corporativ. Cercetătorii Lupul Arctic spus săptămâna aceasta. Instrumentul este „în principal util pentru trecerea prin firewall”, potrivit Pagina GitHub.

Atacurile arată o evoluție a actorilor amenințărilor de a folosi „active mai puțin cunoscute sau monitorizate” pentru a accesa rețele și pentru a efectua activități nefaste pentru a evita detectarea, potrivit Arctic Wolf.

„În peisajul actual, multe organizații monitorizează intens activele critice, cum ar fi controlerele de domeniu și serverele web, dar tind să lase dispozitivele VoIP și dispozitivele Internet of Things (IoT) fără o monitorizare adecvată, ceea ce le permite actorilor amenințărilor să se introducă într-un mediu. fără a fi detectat”, au scris cercetătorii.

Activitatea subliniază necesitatea întreprinderilor de a monitoriza toate dispozitivele care se confruntă cu exteriorul pentru activități potențiale rău intenționate, inclusiv dispozitivele VoIP și IoT, au spus cercetătorii.

Mitel a identificat CVE-2022-29499 pe 19 aprilie și a furnizat un script pentru versiunile 19.2 SP3 și anterioare și R14.x și anterioare ca o soluție înainte de a lansa versiunea MiVoice Connect R19.3 în iulie, pentru a remedia complet defecțiunea.

Detalii despre atac

Lorenz este un grup de ransomware care este activ cel puțin din februarie 2021 și, la fel ca multe dintre cohortele sale, funcționează dubla extorcare victimelor sale prin exfiltrarea datelor și amenințând că le vor expune online dacă victimele nu plătesc răscumpărarea dorită într-un anumit interval de timp.

În ultimul trimestru, grupul a vizat în primul rând întreprinderile mici și mijlocii (IMM-uri) situate în Statele Unite, cu valori aberante în China și Mexic, potrivit Arctic Wolf.

În atacurile pe care cercetătorii le-au identificat, activitatea inițială rău intenționată a provenit de la un aparat Mitel aflat pe perimetrul rețelei. Odată ce a stabilit un shell invers, Lorenz a folosit interfața de linie de comandă a dispozitivului Mitel pentru a crea un director ascuns și a continuat să descarce un binar compilat al lui Chisel direct din GitHub, prin Wget.

Actorii de amenințări au redenumit binarul Chisel în „mem”, l-au dezarhivat și l-au executat pentru a stabili o conexiune înapoi la un server Chisel care asculta la hxxps[://]137.184.181[.]252[:]8443, au spus cercetătorii. Lorenz a omis verificarea certificatului TLS și a transformat clientul într-un proxy SOCKS.

Merită remarcat faptul că Lorenz a așteptat aproape o lună după ce a încălcat rețeaua corporativă pentru a desfășura activități suplimentare de ransomware, au spus cercetătorii. La revenirea la dispozitivul Mitel, actorii amenințărilor au interacționat cu un shell web numit „pdf_import_export.php”. La scurt timp după aceea, dispozitivul Mitel a pornit din nou un shell invers și un tunel Chisel, astfel încât actorii amenințărilor să poată sări în rețeaua corporativă, potrivit Arctic Wolf.

Odată ajuns în rețea, Lorenz a obținut acreditări pentru două conturi de administrator privilegiate, unul cu privilegii de administrator local și unul cu privilegii de administrator de domeniu, și le-a folosit pentru a se deplasa lateral prin mediu prin RDP și, ulterior, la un controler de domeniu.

Înainte de a cripta fișierele folosind BitLocker și ransomware-ul Lorenz pe ESXi, Lorenz a exfiltrat datele în scopuri de dublă extorcare prin FileZilla, au spus cercetătorii.

Atenuarea atacurilor

Pentru a atenua atacurile care pot folosi defectul Mitel pentru a lansa ransomware sau alte activități de amenințare, cercetătorii recomandă organizațiilor să aplice patch-ul cât mai curând posibil.

Cercetătorii au făcut, de asemenea, recomandări generale pentru a evita riscul cauzat de dispozitivele de perimetru ca o modalitate de a evita căile către rețelele corporative. O modalitate de a face acest lucru este să efectuați scanări externe pentru a evalua amprenta unei organizații și pentru a-și întări mediul și postura de securitate, au spus ei. Acest lucru va permite companiilor să descopere active despre care administratorii ar putea să nu le cunoască, astfel încât să poată fi protejate, precum și să ajute la definirea suprafeței de atac a unei organizații pe dispozitivele expuse la Internet, au observat cercetătorii.

Odată ce toate activele sunt identificate, organizațiile ar trebui să se asigure că cele critice nu sunt expuse direct la Internet, eliminând un dispozitiv din perimetru dacă nu trebuie să fie acolo, au recomandat cercetătorii.

De asemenea, Artic Wolf a recomandat organizațiilor să activeze Module Logging, Script Block Logging și Transcription Logging și să trimită jurnalele către o soluție de înregistrare centralizată ca parte a configurației lor PowerShell Logging. De asemenea, ar trebui să stocheze jurnalele capturate în exterior, astfel încât să poată efectua analize criminalistice detaliate împotriva acțiunilor evazive ale actorilor de amenințări în cazul unui atac.