Arctic Wolf kısa bir süre önce, ilk erişim için Mitel MiVoice VoIP cihazında (CVE-2022-29499) ve veri şifreleme için Microsoft'un BitLocker Sürücü Şifrelemesinde bir güvenlik açığı kullanan bir Lorenz fidye yazılımı saldırısını araştırdı. VoIO çözümünün kullanıcıları acilen güvenlik yamalarını çalıştırmalıdır.
Lorenz, en geç Şubat 2021'den beri aktif olan ve birçok fidye yazılımı grubu gibi sistemleri şifrelemeden önce saldırı hedefinden veri sızdıran bir fidye yazılımı grubudur. Son çeyrekte, grup öncelikle Amerika Birleşik Devletleri'ndeki küçük ve orta ölçekli işletmeleri hedef aldı, ancak Çin ve Meksika'daki kuruluşlar da darbe aldı.
KOBİ'ler özellikle etkilendi
Arctic Wolf soruşturması aşağıdaki bulgulara yol açtı: Arctic Wolf Labs ekibi, Lorenz fidye yazılımı grubunun ilk erişimi elde etmek için Mitel MiVoice Connect'i tehlikeye atmak üzere CVE-2022-29499'dan yararlandığından şüpheleniyor. Bundan sonra grup, daha fazla faaliyet yürütmek için ilk erişimi elde ettikten sonra neredeyse bir ay bekledi.
Eylemler sırasında Lorenz grubu, FileZilla FTP aracını kullanarak verileri sızdırdı. Kurbanın verileri daha sonra ESXi'de BitLocker ve Lorenz Ransomware aracılığıyla şifrelendi. Uzmanların belirttiği gibi, grup yüksek düzeyde operasyonel güvenlik (OPSEC) ile ilerledi. Uzmanlar başka noktalara değindi
- Fidye yazılımı grupları, Living Off the Land ikili dosyalarını (LOLBin'ler) kullanmaya ve 0 günlük istismarlara erişim elde etmeye devam ediyor.
- İşlem ve PowerShell günlüğü, bir olaya uygun yanıt verilmesine büyük ölçüde yardımcı olabilir ve şifrelenmiş dosyaların şifresini çözmeye yardımcı olabilir.
Kullanıcılar, MiVoice Connect R19.3 sürümüne güncelleme yapmalıdır
Temmuz 2022'de Mitel, CVE-19.3-2022'u tamamen düzelten MiVoice Connect R29499 sürümünü yayınladı. Arctic Wolf, bu güvenlik açığından yararlanma olasılığını önlemek için R19.3 sürümüne yükseltme yapmanızı önerir. 19 Nisan 2022'de Mitel, R19.2 sürümünden önceki bir geçici çözüm olarak 3 SP14 ve önceki sürümleri ile R19.3.x ve önceki sürümleri için bir komut dosyası sağladı.
Artic Wolf, blogunda ayrıntılı bir teknik açıklama sağlar.
Daha fazlası Sophos.com'da
Arktik Kurt Hakkında Arctic Wolf, siber riski azaltmak için ilk bulut tabanlı güvenlik operasyonları platformunu sağlayan güvenlik operasyonlarında dünya lideridir. Uç nokta, ağ ve bulut kaynaklarını kapsayan tehdit telemetrisine dayanan Arctic Wolf® Security Operations Cloud, dünya çapında haftada 1,6 trilyondan fazla güvenlik olayını analiz eder. Neredeyse tüm güvenlik kullanım durumlarına ilişkin şirket açısından kritik içgörüler sağlar ve müşterilerin heterojen güvenlik çözümlerini optimize eder. Arctic Wolf platformu, dünya çapında 2.000'den fazla müşteri tarafından kullanılmaktadır. Otomatik tehdit tespiti ve yanıtı sağlayarak, her büyüklükteki kuruluşun tek bir düğmeye dokunarak birinci sınıf güvenlik operasyonları kurmasını sağlar.