Arctic Wolf は最近、最初のアクセスに Mitel MiVoice VoIP アプライアンス (CVE-2022-29499) の脆弱性を使用し、データ暗号化に Microsoft の BitLocker ドライブ暗号化を使用した Lorenz ランサムウェア攻撃を調査しました。 VoIO ソリューションのユーザーは、早急にセキュリティ パッチを実行する必要があります。
Lorenz は、遅くとも 2021 年 XNUMX 月から活動しているランサムウェア グループであり、多くのランサムウェア グループと同様に、システムを暗号化する前に攻撃対象からデータを盗み出します。 直近の四半期では、このグループは主に米国の中小企業を標的にしていましたが、中国とメキシコの組織も攻撃を受けました。
特に影響を受ける中小企業
Arctic Wolf の調査により、次のような結果が得られました。 Arctic Wolf Labs チームは、Lorenz ランサムウェア グループが CVE-2022-29499 を悪用して Mitel MiVoice Connect を侵害し、初期アクセスを取得したのではないかと疑っています。 その後、グループは最初のアクセス権を取得してから約 XNUMX か月待ってから、さらなる活動を行いました。
アクション中に、Lorenz グループは FileZilla FTP ツールを使用してデータを盗み出しました。 その後、被害者のデータは、BitLocker と ESXi 上の Lorenz ランサムウェアによって暗号化されました。 専門家が指摘したように、グループは高レベルの運用セキュリティ(OPSEC)を進めました。 専門家は他の点を指摘した
- ランサムウェア グループは引き続き Living Off the Land バイナリ (LOLBin) を使用し、ゼロデイ エクスプロイトへのアクセスを取得します。
- プロセスと PowerShell のログ記録は、インシデントへの適切な対応に大きく役立ち、暗号化されたファイルの復号化に役立つ場合があります。
ユーザーは MiVoice Connect バージョン R19.3 にアップデートする必要があります
さかのぼる 2022 年 19.3 月、Mitel は MiVoice Connect バージョン R2022 をリリースしました。これは CVE-29499-19.3 を完全に修正します。 Arctic Wolf では、この脆弱性の悪用を防ぐために、バージョン R19 にアップグレードすることをお勧めします。 2022 年 19.2 月 3 日、Mitel は R14 リリース前の回避策として、バージョン 19.3 SPXNUMX 以前および RXNUMX.x 以前のスクリプトを提供しました。
Artic Wolf は、彼のブログで詳細な技術的説明を提供しています。
詳細は Sophos.com をご覧ください
北極狼について Arctic Wolf は、セキュリティ オペレーションのグローバル リーダーであり、サイバー リスクを軽減するための初のクラウドネイティブ セキュリティ オペレーション プラットフォームを提供しています。 Arctic Wolf® Security Operations Cloud は、エンドポイント、ネットワーク、およびクラウド ソースにわたる脅威テレメトリに基づいて、世界中で 1,6 週間に 2.000 兆を超えるセキュリティ イベントを分析します。 ほぼすべてのセキュリティ ユース ケースに企業にとって重要な洞察を提供し、顧客の異種セキュリティ ソリューションを最適化します。 Arctic Wolf プラットフォームは、世界中で XNUMX を超える顧客に使用されています。 自動化された脅威の検出と対応を提供し、あらゆる規模の組織がボタンを押すだけで世界クラスのセキュリティ運用をセットアップできるようにします。