Arctic Wolf ha recentemente indagato su un attacco ransomware Lorenz che utilizzava una vulnerabilità nell'appliance Mitel MiVoice VoIP (CVE-2022-29499) per il primo accesso e BitLocker Drive Encryption di Microsoft per la crittografia dei dati. Gli utenti della soluzione VoIO devono eseguire urgentemente le patch di sicurezza.
Lorenz è un gruppo ransomware attivo al più tardi da febbraio 2021 e, come molti gruppi ransomware, esfiltra i dati dal suo obiettivo di attacco prima di crittografare i sistemi. Nell'ultimo trimestre, il gruppo ha preso di mira principalmente le piccole e medie imprese negli Stati Uniti, ma sono state colpite anche organizzazioni in Cina e Messico.
Particolarmente colpite le PMI
L'indagine Arctic Wolf ha portato ai seguenti risultati: Il team di Arctic Wolf Labs sospetta che il gruppo ransomware Lorenz abbia sfruttato CVE-2022-29499 per compromettere Mitel MiVoice Connect per ottenere l'accesso iniziale. Successivamente, il gruppo ha aspettato quasi un mese dopo aver ottenuto l'accesso iniziale per condurre ulteriori attività.
Durante le azioni, il gruppo Lorenz ha esfiltrato i dati utilizzando lo strumento FTP FileZilla. I dati della vittima sono stati quindi crittografati tramite BitLocker e Lorenz Ransomware su ESXi. Come rilevato dagli esperti, il gruppo ha proceduto con un elevato livello di sicurezza operativa (OPSEC). Gli esperti hanno fatto altri punti
- I gruppi di ransomware continuano a utilizzare i binari di Living Off the Land (LOLBins) e ottengono l'accesso agli exploit 0day.
- La registrazione dei processi e di PowerShell può essere di grande aiuto nella risposta appropriata a un incidente e può aiutare a decrittografare i file crittografati.
Gli utenti devono eseguire l'aggiornamento a MiVoice Connect versione R19.3
Nel luglio 2022, Mitel ha rilasciato MiVoice Connect versione R19.3, che risolve completamente CVE-2022-29499. Arctic Wolf consiglia di eseguire l'aggiornamento alla versione R19.3 per prevenire il potenziale sfruttamento di questa vulnerabilità. Il 19 aprile 2022, Mitel ha fornito uno script per le versioni 19.2 SP3 e precedenti e R14.x e precedenti come soluzione alternativa prima del rilascio R19.3.
Artic Wolf fornisce una descrizione tecnica dettagliata nel suo blog.
Maggiori informazioni su Sophos.com
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.