Lorenz fidye yazılımı çetesi, artık şirket ağlarına ilk erişim için telefon sistemlerini kullanarak, kuruluşların ihlali için Mitel MiVoice VOIP cihazlarında kritik bir güvenlik açığı kullanıyor.
Arctic Wolf Labs güvenlik araştırmacıları, fidye yazılımı saldırılarına bağlı Taktikler, Teknikler ve Prosedürler (TTP’ler) ile önemli bir örtüşme gözlemledikten sonra bu yeni taktiği tespit etti. CVE-2022-29499 gibi ilk erişim için hata kitle grevi bildirildi Haziranda.
Bu olaylar belirli bir fidye yazılımı çetesiyle bağlantılı olmasa da, Arctic Wold Labs, benzer kötü niyetli faaliyetleri Lorenz çetesine yüksek bir güvenle atfetmeyi başardı.
Güvenlik araştırmacıları, “İlk kötü amaçlı etkinlik, ağ çevresinde oturan bir Mitel cihazından kaynaklandı” meydana çıkarmak bugün yayınlanan bir raporda
“Lorenz, bir ters kabuk elde etmek için MiVoice Connect’in Mitel Service Appliance bileşenini etkileyen bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-29499’dan yararlandı ve ardından Chisel’i çevreye dönmek için bir tünel aracı olarak kullandı.”
Mitel IP Üzerinden Ses (VoIP) ürünlerinin dünya çapında kritik sektörlerdeki kuruluşlar (devlet kurumları dahil) tarafından kullanıldığı göz önüne alındığında, bu çetenin cephaneliğine önemli bir katkıdır. 19.000’den fazla cihaz güvenlik uzmanına göre şu anda İnternet üzerinden saldırılara maruz kalıyor Kevin Beaumont.
Mitel, bir güvenlik açığı yayınladıktan sonra Haziran 2022’nin başlarında güvenlik yamalarını yayınlayarak bu güvenlik açığını giderdi. düzeltme komut dosyası Nisan ayında etkilenen MiVoice Connect sürümleri için.
Son zamanlarda tehdit aktörleri diğer güvenlik açıklarından yararlandı Mitel cihazlarını rekor kırarak etkiliyor DDoS amplifikasyonu saldırılar.
Lorenz kimdir?
bu Lorenz fidye yazılımı grubu En az Aralık 2020’den beri dünya çapındaki kurumsal kuruluşları hedef alıyor ve her kurbandan yüz binlerce dolar fidye talep ediyor.
Michael Gillespie’nin Kimlik Fidye Yazılımı BleepingComputer’a Lorenz şifreleyicisinin ThunderCrypt olarak bilinen önceki bir fidye yazılımı işlemi tarafından kullanılanla aynı olduğunu söyledi.
Bu çete, şifrelemeden önce çalınan verileri satmasıyla da tanınır. diğer tehdit aktörlerine kurbanlarına fidye ödemeleri için baskı yapmak ve kurbanlarının iç ağlarına erişimlerini çalınan verilerle birlikte diğer siber suçlulara satmak.
Çalınan verileri şifre korumalı RAR arşivleri olarak sızdırdıktan sonra fidye ödenmezse, Lorenz çalınan dosyalara kamu erişimi sağlamak için sızdırılan arşivlere erişmek için şifreyi de serbest bırakır.
Haziran 2021’de Hollandalı siber güvenlik firması Tesorion ücretsiz bir Lorenz fidye yazılımı şifre çözücü yayınladı Office belgeleri, PDF dosyaları, resimler ve videolar dahil olmak üzere bazı dosya türlerini kurtarmak için kullanılabilir.
Önceki kurbanların listesi şunları içerir: Hensoldtmerkezi Almanya’da bulunan çok uluslu bir savunma yüklenicisi ve Kanada PostasıKanada’daki birincil posta operatörü.