Arctic Wolf нещодавно розслідувала атаку програми-вимагача Lorenz, яка використовувала вразливість у VoIP-пристрої Mitel MiVoice (CVE-2022-29499) для першого доступу та BitLocker Drive Encryption від Microsoft для шифрування даних. Користувачі рішення VoIO повинні терміново запустити патчі безпеки.
Lorenz — це група програм-вимагачів, яка працює щонайпізніше з лютого 2021 року, і, як і багато інших груп програм-вимагачів, викрадає дані з цілей своєї атаки перед тим, як шифрувати системи. В останньому кварталі група в основному націлювалася на малий і середній бізнес у Сполучених Штатах, але також постраждали організації в Китаї та Мексиці.
Особливо постраждали МСП
Розслідування Arctic Wolf привело до наступних висновків: команда Arctic Wolf Labs підозрює, що група програм-вимагачів Lorenz використовувала CVE-2022-29499, щоб скомпрометувати Mitel MiVoice Connect і отримати початковий доступ. Після цього група чекала майже місяць після отримання початкового доступу, щоб проводити подальші дії.
Під час дій група Лоренца викрадала дані за допомогою FTP-інструменту FileZilla. Потім дані жертви були зашифровані за допомогою BitLocker і програмного забезпечення Lorenz Ransomware на ESXi. Як зазначили експерти, група діяла з високим рівнем оперативної безпеки (OPSEC). Експерти висловили й інші моменти
- Групи програм-вимагачів продовжують використовувати двійкові файли Living Off the Land (LOLBins) і отримують доступ до експлойтів 0day.
- Журнал процесу та PowerShell може значно допомогти у відповідній реакції на інцидент і може допомогти розшифрувати зашифровані файли.
Користувачам слід оновити MiVoice Connect до версії R19.3
Ще в липні 2022 року Mitel випустила MiVoice Connect версії R19.3, яка повністю виправляє CVE-2022-29499. Arctic Wolf рекомендує оновити до версії R19.3, щоб запобігти потенційному використанню цієї вразливості. 19 квітня 2022 року Mitel надав сценарій для версій 19.2 SP3 і попередніх версій і R14.x і попередніх як обхідний шлях до випуску R19.3.
Artic Wolf надає детальний технічний опис у своєму блозі.
Більше на Sophos.com
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.