Lorenz-Ransomware schlüpft durch Schwachstelle von VoIP-Telefon 

Lorenz-Ransomware schlüpft durch Schwachstelle von VoIP-Telefon 
Anzeige

Beitrag teilen

Arctic Wolf untersuchte vor Kurzem einen Lorenz-Ransomware-Angriff, der eine Schwachstelle in der Mitel MiVoice VoIP-Appliance (CVE-2022-29499) für den ersten Zugriff und Microsofts BitLocker Drive Encryption für die Datenverschlüsselung nutzte. Nutzer der VoIO-Lösung sollten dringend die Sicherheitspatches ausführen.

Lorenz ist eine Ransomware-Gruppe, die seit spätestens Februar 2021 aktiv ist und wie viele Ransomware-Gruppen Daten ihres Angriffziels exfiltriert, bevor sie die Systeme verschlüsselt. Im letzten Quartal hatte es die Gruppe vor allem auf kleine und mittlere Unternehmen in den Vereinigten Staaten abgesehen, aber auch Organisationen in China und Mexiko waren betroffen.

Anzeige

KMU besonders betroffen

Die Arctic Wolf-Untersuchung führte zu folgenden Erkenntnissen: Das Arctic Wolf Labs-Team vermutet, dass die Ransomware-Gruppe Lorenz CVE-2022-29499 ausgenutzt hat, um Mitel MiVoice Connect zu kompromittieren und so einen ersten Zugang zu erhalten. Danach wartete die Gruppe fast einen Monat, nachdem sie den initialen Zugang erlangt hatte, um weitere Aktivitäten durchzuführen.

Bei den Aktionen exfiltrierte die Lorenz-Gruppe Daten über das FTP-Tool FileZilla. Die anschließende Verschlüsselung der Daten des Opfers erfolgte über BitLocker und Lorenz Ransomware auf ESXi. Wie die Experten feststellten ging die Gruppe mit einem hohen Maß an operativer Sicherheit (OPSEC) vor. Weitere Punkte vermerkten Experten

Anzeige

  • Ransomware-Gruppen verwenden weiterhin Living Off the Land Binaries (LOLBins) und verschaffen sich Zugang zu 0day-Exploits.
  • Process und PowerShell Logging kann die geeignete Reaktion auf einen Vorfall erheblich unterstützen und möglicherweise zur Entschlüsselung verschlüsselter Dateien beitragen.

Nutzer sollten auf MiVoice Connect Version R19.3 aktualisieren

Bereits im Juli 2022 veröffentlichte Mitel MiVoice Connect Version R19.3, die CVE-2022-29499 vollständig behebt. Arctic Wolf empfehlen ein Upgrade auf Version R19.3, um eine potenzielle Ausnutzung dieser Schwachstelle zu verhindern. Am 19. April 2022 stellte Mitel ein Skript für die Versionen 19.2 SP3 und früher sowie R14.x und früher als Problemumgehung vor der Veröffentlichung von R19.3 bereit.

Artic Wolf stellt in seinem Blog eine ausführliche technische Beschreibung bereit.

Mehr bei Sophos.com

 


Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Bitdefender GravityZone mit „Human Risk Analytics“

EDR-Modul jetzt auch On-Premises erhältlich zur Abmilderung von Ransomware-Attacken Bitdefender bietet ab sofort mit Human Risk Analytics eine zusätzliche Funktion ➡ Weiterlesen