Програма-вимагач Lorenz проникає у мережі компанії через VoIP-продукцію Mitel

Програма-вимагач Lorenz проникає у мережі компанії через VoIP-продукцію Mitel
Lorenz використовує критичну вразливість VoIP-пристроях Mitel MiVoice

Охоронна компанія Arctic Wolf попереджає, що програма-вимагач Lorenz використовує критичну вразливість VoIP-пристроях Mitel MiVoice для проникнення в корпоративні мережі.

Нагадаю, ми також писали про те, що шифрувальники публікують вкрадені у Cisco дані.

Lorenz активний як мінімум з 2021 року і займається вже звичним вимаганням подвійного викупу: їх шкідник не тільки шифрує файли на машинах своїх жертв, а й краде дані постраждалих компаній, а потім погрожує опублікувати їх, якщо вони не отримують окремого викупу за це.

Минулого року групі приписали атаку на провайдера EDI Commport Communications, а цього року дослідники зафіксували активність Lorenz у США, Китаї та Мексиці, де хакери атакували малий та середній бізнес.

Як тепер повідомляють аналітики Arctic Wolf, хакерська група використовує вразливість CVE-2022-29499, виявлену та виправлену у червні 2022 року. Ця помилка у VoIP-пристроях Mitel MiVoice дозволяє віддалене виконання довільного коду (RCE) та створення зворотної оболонки на мережі жертви.

VoIP-рішення Mitel використовуються організаціями та урядами в критично важливих секторах по всьому світу. За словами експерта з інформаційної безпеки Кевіна Бомонта, наразі понад 19 000 пристроїв відкрито для атак через Інтернет.

Варто зауважити, що методи, які хакери використовують для зараження шифрувальниками-вимагачами, майже завжди ідентичні і незмінні останні 5 років. Це говорить про досить низький рівень кібербезпеки у компаніях, незважаючи на усі попередження з боку спеціалістів.

Загалом тактика Lorenz аналогічна описаній у звіті компанії CrowdStrike, яка виявила цей баг і простежила за шифрувальником, який використовував його. Отже, після початкової компрометації Lorenz розгортає копію інструменту з відкритим вихідним кодом Chisel для тунелювання TCP в мережі компанії, що постраждала, і використовує її для обходу мережевих фільтрів та захисного ПЗ.

При цьому експерти Arctic Wolf зазначають, що після злому пристрою Mitel хакери вичікують близько місяця, і лише потім починають розвивати свою атаку далі. Дослідники пишуть, що хакери використовують відомі та широко використовувані інструменти для створення дампа облікових даних та подальшої розвідки. Потім група починає рух мережею, використовуючи скомпрометовані облікові дані (включаючи облікові дані зламаного облікового запису адміністратора домену).

Перш ніж зашифрувати файли жертви, Lorenz краде інформацію за допомогою програми обміну файлами FileZIlla. BitLocker використовується для подальшого шифрування жертв.

Автор Стефанія А.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.

Переглянути всі записи Стефанія А..

Залишити коментар

Ваша e-mail адреса не оприлюднюватиметься.