Le rançongiciel Lorenz passe à travers la vulnérabilité du téléphone VoIP 

Le rançongiciel Lorenz passe à travers la vulnérabilité du téléphone VoIP

Partager le post

Arctic Wolf a récemment enquêté sur une attaque de rançongiciel Lorenz qui utilisait une vulnérabilité dans l'appliance Mitel MiVoice VoIP (CVE-2022-29499) pour le premier accès et BitLocker Drive Encryption de Microsoft pour le chiffrement des données. Les utilisateurs de la solution VoIO doivent exécuter de toute urgence les correctifs de sécurité.

Lorenz est un groupe de ransomwares actif depuis février 2021 au plus tard et, comme de nombreux groupes de ransomwares, exfiltre les données de sa cible d'attaque avant de chiffrer les systèmes. Au cours du dernier trimestre, le groupe ciblait principalement les petites et moyennes entreprises aux États-Unis, mais des organisations en Chine et au Mexique ont également été touchées.

Les PME particulièrement touchées

L'enquête Arctic Wolf a abouti aux conclusions suivantes : L'équipe d'Arctic Wolf Labs soupçonne que le groupe de rançongiciels Lorenz a exploité CVE-2022-29499 pour compromettre Mitel MiVoice Connect afin d'obtenir un accès initial. Par la suite, le groupe a attendu près d'un mois après avoir obtenu l'accès initial pour mener d'autres activités.

Au cours des actions, le groupe Lorenz a exfiltré des données à l'aide de l'outil FTP FileZilla. Les données de la victime ont ensuite été chiffrées via BitLocker et Lorenz Ransomware sur ESXi. Comme l'ont noté les experts, le groupe a procédé avec un haut niveau de sécurité opérationnelle (OPSEC). Les experts ont fait d'autres points

  • Les groupes de rançongiciels continuent d'utiliser les binaires Living Off the Land (LOLBins) et ont accès aux exploits 0day.
  • La journalisation des processus et PowerShell peut grandement aider à la réponse appropriée à un incident et peut aider à déchiffrer les fichiers chiffrés.

Les utilisateurs doivent mettre à jour vers MiVoice Connect version R19.3

En juillet 2022, Mitel a publié MiVoice Connect version R19.3, qui corrige complètement CVE-2022-29499. Arctic Wolf recommande de passer à la version R19.3 pour empêcher l'exploitation potentielle de cette vulnérabilité. Le 19 avril 2022, Mitel a fourni un script pour les versions 19.2 SP3 et antérieures et R14.x et antérieures comme solution de contournement avant la version R19.3.

Artic Wolf fournit une description technique détaillée dans son blog.

Plus sur Sophos.com

 


À propos du loup arctique

Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.


 

Articles liés au sujet

Plateforme de cybersécurité avec protection pour les environnements 5G

Trend Micro, spécialiste de la cybersécurité, dévoile son approche basée sur une plateforme pour protéger la surface d'attaque en constante expansion des organisations, y compris la sécurisation ➡ En savoir plus

Manipulation des données, le danger sous-estimé

Chaque année, la Journée mondiale de la sauvegarde, le 31 mars, rappelle l'importance de sauvegardes à jour et facilement accessibles. ➡ En savoir plus

Les imprimantes comme risque de sécurité

Les flottes d'imprimantes d'entreprise deviennent de plus en plus un angle mort et posent d'énormes problèmes en termes d'efficacité et de sécurité. ➡ En savoir plus

Sécurité informatique : la base de LockBit 4.0 désamorcée

Trend Micro, en collaboration avec la National Crime Agency (NCA) du Royaume-Uni, a analysé la version non publiée en cours de développement. ➡ En savoir plus

La loi IA et ses conséquences sur la protection des données

Avec l'AI Act, la première loi pour l'IA a été approuvée et donne aux fabricants d'applications d'IA un délai de six mois à ➡ En savoir plus

MDR et XDR via Google Workspace

Que ce soit dans un café, un terminal d'aéroport ou un bureau à domicile, les employés travaillent dans de nombreux endroits. Cependant, cette évolution pose également des défis ➡ En savoir plus

Systèmes d'exploitation Windows : près de deux millions d'ordinateurs menacés

Il n'y a plus de mises à jour pour les systèmes d'exploitation Windows 7 et 8. Cela signifie des failles de sécurité ouvertes et, par conséquent, cela vaut la peine et ➡ En savoir plus

L'IA sur Enterprise Storage combat les ransomwares en temps réel

NetApp est l'un des premiers à intégrer l'intelligence artificielle (IA) et l'apprentissage automatique (ML) directement dans le stockage principal pour lutter contre les ransomwares. ➡ En savoir plus