A Arctic Wolf investigou recentemente um ataque de ransomware Lorenz que usou uma vulnerabilidade no dispositivo Mitel MiVoice VoIP (CVE-2022-29499) para primeiro acesso e o BitLocker Drive Encryption da Microsoft para criptografia de dados. Os usuários da solução VoIO devem executar os patches de segurança com urgência.
Lorenz é um grupo de ransomware que está ativo desde fevereiro de 2021 e, como muitos grupos de ransomware, exfiltra dados de seu alvo de ataque antes de criptografar os sistemas. No trimestre mais recente, o grupo visava principalmente pequenas e médias empresas nos Estados Unidos, mas organizações na China e no México também foram atingidas.
PMEs particularmente afetadas
A investigação do Arctic Wolf levou às seguintes descobertas: A equipe do Arctic Wolf Labs suspeita que o grupo Lorenz ransomware explorou o CVE-2022-29499 para comprometer o Mitel MiVoice Connect para obter acesso inicial. Depois disso, o grupo esperou quase um mês após obter o acesso inicial para realizar outras atividades.
Durante as ações, o grupo Lorenz exfiltrou dados usando a ferramenta FileZilla FTP. Os dados da vítima foram então criptografados via BitLocker e Lorenz Ransomware no ESXi. Conforme observado pelos especialistas, o grupo procedeu com um alto nível de segurança operacional (OPSEC). Especialistas fizeram outros pontos
- Grupos de ransomware continuam a usar binários Living Off the Land (LOLBins) e obtêm acesso a explorações de 0 dia.
- O log do processo e do PowerShell pode ajudar muito na resposta apropriada a um incidente e pode ajudar a descriptografar arquivos criptografados.
Os usuários devem atualizar para o MiVoice Connect versão R19.3
Em julho de 2022, a Mitel lançou o MiVoice Connect versão R19.3, que corrige completamente o CVE-2022-29499. A Arctic Wolf recomenda a atualização para a versão R19.3 para evitar a potencial exploração desta vulnerabilidade. Em 19 de abril de 2022, a Mitel forneceu um script para as versões 19.2 SP3 e anteriores e R14.xe anteriores como uma solução alternativa antes do lançamento da R19.3.
Artic Wolf fornece uma descrição técnica detalhada em seu blog.
Mais em Sophos.com
Sobre o Lobo do Ártico A Arctic Wolf é líder global em operações de segurança, fornecendo a primeira plataforma de operações de segurança nativa da nuvem para mitigar o risco cibernético. Com base na telemetria de ameaças, abrangendo endpoints, redes e fontes de nuvem, o Arctic Wolf® Security Operations Cloud analisa mais de 1,6 trilhão de eventos de segurança por semana em todo o mundo. Ele fornece insights críticos para a empresa em quase todos os casos de uso de segurança e otimiza as soluções de segurança heterogêneas dos clientes. A plataforma Arctic Wolf é usada por mais de 2.000 clientes em todo o mundo. Ele fornece detecção e resposta automatizadas a ameaças, permitindo que organizações de todos os tamanhos configurem operações de segurança de classe mundial com o toque de um botão.