Arctic Wolf investigó recientemente un ataque de ransomware Lorenz que utilizó una vulnerabilidad en el dispositivo Mitel MiVoice VoIP (CVE-2022-29499) para el primer acceso y BitLocker Drive Encryption de Microsoft para el cifrado de datos. Los usuarios de la solución VoIO deben ejecutar urgentemente los parches de seguridad.
Lorenz es un grupo de ransomware que ha estado activo desde febrero de 2021 a más tardar y, como muchos grupos de ransomware, extrae datos de su objetivo de ataque antes de cifrar los sistemas. En el trimestre más reciente, el grupo apuntó principalmente a pequeñas y medianas empresas en los Estados Unidos, pero también se vieron afectadas organizaciones en China y México.
Pymes particularmente afectadas
La investigación de Arctic Wolf condujo a los siguientes hallazgos: El equipo de Arctic Wolf Labs sospecha que el grupo de ransomware Lorenz explotó CVE-2022-29499 para comprometer Mitel MiVoice Connect para obtener acceso inicial. A partir de entonces, el grupo esperó casi un mes después de obtener el acceso inicial para realizar más actividades.
Durante las acciones, el grupo de Lorenz extrajo datos utilizando la herramienta FTP FileZilla. Luego, los datos de la víctima se cifraron a través de BitLocker y Lorenz Ransomware en ESXi. Como señalaron los expertos, el grupo procedió con un alto nivel de seguridad operativa (OPSEC). Los expertos hicieron otros puntos
- Los grupos de ransomware continúan usando los archivos binarios Living Off the Land (LOLBins) y obtienen acceso a exploits de día cero.
- El registro de procesos y PowerShell puede ser de gran ayuda en la respuesta adecuada a un incidente y puede ayudar a descifrar archivos cifrados.
Los usuarios deben actualizar a MiVoice Connect versión R19.3
En julio de 2022, Mitel lanzó la versión R19.3 de MiVoice Connect, que corrige por completo CVE-2022-29499. Arctic Wolf recomienda actualizar a la versión R19.3 para evitar la explotación potencial de esta vulnerabilidad. El 19 de abril de 2022, Mitel proporcionó un script para las versiones 19.2 SP3 y anteriores y R14.x y anteriores como solución antes del lanzamiento de R19.3.
Artic Wolf proporciona una descripción técnica detallada en su blog.
Más en Sophos.com
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.