Lorenz-Ransomware schlüpft durch Schwachstelle von VoIP-Telefon 

Lorenz-Ransomware schlüpft durch Schwachstelle von VoIP-Telefon 

Beitrag teilen

Arctic Wolf untersuchte vor Kurzem einen Lorenz-Ransomware-Angriff, der eine Schwachstelle in der Mitel MiVoice VoIP-Appliance (CVE-2022-29499) für den ersten Zugriff und Microsofts BitLocker Drive Encryption für die Datenverschlüsselung nutzte. Nutzer der VoIO-Lösung sollten dringend die Sicherheitspatches ausführen.

Lorenz ist eine Ransomware-Gruppe, die seit spätestens Februar 2021 aktiv ist und wie viele Ransomware-Gruppen Daten ihres Angriffziels exfiltriert, bevor sie die Systeme verschlüsselt. Im letzten Quartal hatte es die Gruppe vor allem auf kleine und mittlere Unternehmen in den Vereinigten Staaten abgesehen, aber auch Organisationen in China und Mexiko waren betroffen.

KMU besonders betroffen

Die Arctic Wolf-Untersuchung führte zu folgenden Erkenntnissen: Das Arctic Wolf Labs-Team vermutet, dass die Ransomware-Gruppe Lorenz CVE-2022-29499 ausgenutzt hat, um Mitel MiVoice Connect zu kompromittieren und so einen ersten Zugang zu erhalten. Danach wartete die Gruppe fast einen Monat, nachdem sie den initialen Zugang erlangt hatte, um weitere Aktivitäten durchzuführen.

Bei den Aktionen exfiltrierte die Lorenz-Gruppe Daten über das FTP-Tool FileZilla. Die anschließende Verschlüsselung der Daten des Opfers erfolgte über BitLocker und Lorenz Ransomware auf ESXi. Wie die Experten feststellten ging die Gruppe mit einem hohen Maß an operativer Sicherheit (OPSEC) vor. Weitere Punkte vermerkten Experten

  • Ransomware-Gruppen verwenden weiterhin Living Off the Land Binaries (LOLBins) und verschaffen sich Zugang zu 0day-Exploits.
  • Process und PowerShell Logging kann die geeignete Reaktion auf einen Vorfall erheblich unterstützen und möglicherweise zur Entschlüsselung verschlüsselter Dateien beitragen.

Nutzer sollten auf MiVoice Connect Version R19.3 aktualisieren

Bereits im Juli 2022 veröffentlichte Mitel MiVoice Connect Version R19.3, die CVE-2022-29499 vollständig behebt. Arctic Wolf empfehlen ein Upgrade auf Version R19.3, um eine potenzielle Ausnutzung dieser Schwachstelle zu verhindern. Am 19. April 2022 stellte Mitel ein Skript für die Versionen 19.2 SP3 und früher sowie R14.x und früher als Problemumgehung vor der Veröffentlichung von R19.3 bereit.

Artic Wolf stellt in seinem Blog eine ausführliche technische Beschreibung bereit.

Mehr bei Sophos.com

 


Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen