Lorenz ransomware ataca la red corporativa a través de sistemas telefónicos

Hacker

La pandilla de ransomware Lorenz ahora utiliza una vulnerabilidad crítica en los dispositivos Mitel MiVoice VOIP para atacar empresas, utilizando sus sistemas telefónicos para el acceso inicial a sus redes corporativas.

Los investigadores de seguridad de Arctic Wolf Labs detectaron esta nueva táctica después de observar una superposición significativa con las tácticas, técnicas y procedimientos (TTP) vinculados a los ataques de ransomware que explotan el  error CVE-2022-29499  para el acceso inicial, lo que confirma  el informe de Crodwstrike  en junio.

Si bien estos incidentes no estaban vinculados a una banda de ransomware específica, Arctic Wold Labs pudo atribuir una actividad maliciosa similar a la banda de Lorenz con mucha confianza.

“La actividad maliciosa inicial se originó en un dispositivo Mitel ubicado en el perímetro de la red”, revelaron los investigadores de seguridad en un informe publicado hoy.

“Lorenz explotó CVE-2022-29499, una vulnerabilidad de ejecución remota de código que afectaba al componente Mitel Service Appliance de MiVoice Connect, para obtener un shell inverso y, posteriormente, utilizó Chisel como herramienta de tunelización para pivotar en el entorno”.

Esta es una adición importante al arsenal de la pandilla, dado que los productos Mitel Voice-over-IP (VoIP) son utilizados por organizaciones en sectores críticos en todo el mundo (incluidas agencias gubernamentales), con  más de 19,000 dispositivos  actualmente expuestos a ataques a través de Internet, por seguridad.

Mitel abordó la vulnerabilidad lanzando parches de seguridad a principios de junio de 2022 después de lanzar un  script de remediación  para las versiones afectadas de MiVoice Connect en abril.

Los actores de amenazas explotaron recientemente otras fallas de seguridad que afectaban a los dispositivos Mitel en  ataques de amplificación DDoS sin precedentes.

Electrodomésticos Mitel expuestos a Internet
Electrodomésticos Mitel expuestos a Internet (Shodan)

 

¿Quién es Lorenz?

El grupo de ransomware Lorenz ha estado apuntando a organizaciones empresariales en todo el mundo desde al menos diciembre de 2020, exigiendo cientos de miles de dólares en rescate de cada víctima.

Esta pandilla también es conocida por vender datos robados antes del cifrado  a otros actores de amenazas  para presionar a sus víctimas a pagar el rescate y vender el acceso a las redes internas de sus víctimas a otros ciberdelincuentes junto con los datos robados.

Si no se pagan los rescates después de filtrar los datos robados como archivos RAR protegidos con contraseña, Lorenz también libera la contraseña para acceder a los archivos filtrados para brindar acceso público a los archivos robados.

En junio de 2021, la empresa holandesa de ciberseguridad  Tesorion lanzó un descifrador de ransomware Lorenz gratuito  que se puede usar para recuperar algunos tipos de archivos, incluidos documentos de Office, archivos PDF, imágenes y videos.

La lista de víctimas anteriores incluye  a Hensoldt , un contratista de defensa multinacional con sede en Alemania, y Canada Post , el principal operador postal de Canadá.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.