Arctic Wolf a récemment enquêté sur une attaque de rançongiciel Lorenz qui utilisait une vulnérabilité dans l'appliance Mitel MiVoice VoIP (CVE-2022-29499) pour le premier accès et BitLocker Drive Encryption de Microsoft pour le chiffrement des données. Les utilisateurs de la solution VoIO doivent exécuter de toute urgence les correctifs de sécurité.
Lorenz est un groupe de ransomwares actif depuis février 2021 au plus tard et, comme de nombreux groupes de ransomwares, exfiltre les données de sa cible d'attaque avant de chiffrer les systèmes. Au cours du dernier trimestre, le groupe ciblait principalement les petites et moyennes entreprises aux États-Unis, mais des organisations en Chine et au Mexique ont également été touchées.
Les PME particulièrement touchées
L'enquête Arctic Wolf a abouti aux conclusions suivantes : L'équipe d'Arctic Wolf Labs soupçonne que le groupe de rançongiciels Lorenz a exploité CVE-2022-29499 pour compromettre Mitel MiVoice Connect afin d'obtenir un accès initial. Par la suite, le groupe a attendu près d'un mois après avoir obtenu l'accès initial pour mener d'autres activités.
Au cours des actions, le groupe Lorenz a exfiltré des données à l'aide de l'outil FTP FileZilla. Les données de la victime ont ensuite été chiffrées via BitLocker et Lorenz Ransomware sur ESXi. Comme l'ont noté les experts, le groupe a procédé avec un haut niveau de sécurité opérationnelle (OPSEC). Les experts ont fait d'autres points
- Les groupes de rançongiciels continuent d'utiliser les binaires Living Off the Land (LOLBins) et ont accès aux exploits 0day.
- La journalisation des processus et PowerShell peut grandement aider à la réponse appropriée à un incident et peut aider à déchiffrer les fichiers chiffrés.
Les utilisateurs doivent mettre à jour vers MiVoice Connect version R19.3
En juillet 2022, Mitel a publié MiVoice Connect version R19.3, qui corrige complètement CVE-2022-29499. Arctic Wolf recommande de passer à la version R19.3 pour empêcher l'exploitation potentielle de cette vulnérabilité. Le 19 avril 2022, Mitel a fourni un script pour les versions 19.2 SP3 et antérieures et R14.x et antérieures comme solution de contournement avant la version R19.3.
Artic Wolf fournit une description technique détaillée dans son blog.
Plus sur Sophos.com
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.