Şirketlerin kurumsal ağına erişmek için Mitel’in MiVoice VOIP cihazlarını kullanan Lorenz fidye yazılımı çetesi, artık kuruluşların güvenliğini tehlikeye atmak için cihazlarda kritik bir güvenlik açığı kullanıyor.
Arctic Wolf Labs’tan güvenlik araştırmacıları, bilgisayar korsanları tarafından kullanılan bu yeni taktiği keşfetti. Araştırmacılar, CVE-2022-29499 güvenlik açığından, hatayı ilk erişim yöntemi olarak kullanan fidye yazılımı saldırılarında çok fazla yararlanıldığını keşfettiler.
Bu olaylarla bağlantılı belirli bir fidye yazılımı çetesi yoktu. Lorenz çetesi, Arctic Wolf Labs tarafından yüksek derecede kesinlik ve kesinlik ile benzer kötü niyetli faaliyetlere yüksek güvenle atfedildi.
Ağ çevresindeki bir Mitel cihazı, başlangıçtaki kötü amaçlı etkinlikte önemli bir rol oynadı. Lorenz tarafından CVE-2022-29499’dan yararlanılarak Çizel kullanılarak çevreye döndürülmek amacıyla bir ters kabuk elde edildi.
“Ters bir kabuk oluşturulduğunda, tehdit aktörleri gizli bir dizin oluşturmak için Mitel cihazının komut satırı arayüzünü (stcli) kullandılar ve açık kaynak TCP tünelleme aracı Chisel’in derlenmiş bir ikili dosyasını doğrudan wget aracılığıyla Github’dan indirmeye başladılar.”
Çetenin cephaneliği, dünyanın birçok kritik sektöründe kullanılan Mitel VoIP ürünlerinin eklenmesiyle güçlendi.
Bu, çetenin cephaneliğine önemli bir katkı sağlıyor. Mevcut durumda, güvenlik uzmanı Kevin Beaumont, 19.000’den fazla cihazın saldırıya uğrama riski altında olduğunu tahmin ediyor.
Lorenz Fidye Yazılım Grubu
Lorenz fidye yazılımı grubu, Aralık 2020’den beri dünya çapındaki kurumsal organizasyonları hedefliyor. Her kurbandan yüz binlerce dolar fidye ödemesi isteniyor.
Lorenz şifreleyicisinin, daha önce fidye yazılımı işlemlerinde kullanılan ThunderCrypt tarafından kullanılan şifreyle aynı olduğuna dikkat etmek önemlidir.
Bu çetenin suç çılgınlığının bir parçası olarak, şifrelemeden önce kurbanlarından çalınan veriler, kurbanlarını kontrol etmenin bir yolu olarak diğer tehdit aktörlerine satılmaktadır.
Fidye ödenmezse çalınan veriler şifre korumalı RAR arşivleri olarak sızdırılacaktır. Lorenz, çalınan dosyalara sızıntılar yoluyla erişim sağlamak için sızdırılan arşivlere erişmek için gereken şifreyi de sağlıyor.
IOC’leri burada bulabilirsiniz.
Öneriler
Aşağıda, siber güvenlik analistleri tarafından önerilen tüm önerilerden bahsettik: –
- MiVoice Connect Sürüm R19.3’e yükseltin
- Harici Cihazları ve Web Uygulamalarını Tarama
- Kritik Varlıkları Doğrudan İnternete Açmayın
- PowerShell Günlüğünü Yapılandırma
- Site Dışı Günlüğü Yapılandırma
- mutlaka yedek alın
- Potansiyel Saldırıların Patlama Yarıçapını Sınırlayın