Lorenz 勒索软件团伙现在使用 Mitel MiVoice VOIP 设备中的一个严重漏洞来破坏企业,使用他们的电话系统来初始访问他们的公司网络。
正如Crowdstrike 在 6 月报道的那样,Arctic Wolf Labs 安全研究人员在观察到与利用CVE-2022-29499 漏洞进行初始访问 的勒索软件攻击相关的战术、技术和程序 (TTP) 存在重大重叠后,发现了这种新策略 。
虽然这些事件与特定的勒索软件团伙无关,但北极狼实验室能够高度自信地将类似的恶意活动归因于 Lorenz 团伙。
“最初的恶意活动源于位于网络外围的 Mitel 设备,”安全研究人员在今天发布的一份报告中透露。
“Lorenz 利用 CVE-2022-29499(一个影响 MiVoice Connect 的 Mitel Service Appliance 组件的远程代码执行漏洞)来获取反向外壳,随后使用 Chisel 作为隧道工具进入环境。”
这是该团伙武器库的重要补充,因为 Mitel IP 语音 (VoIP) 产品被全球关键部门(包括政府机构)的组织使用,目前有 超过 19,000 台设备 受到互联网攻击,每个安全专家 凯文博蒙特。
Mitel在 4 月发布了受影响的 MiVoice Connect 版本的修复脚本后,于 2022 年 6 月上旬发布了安全补丁,从而解决了该漏洞 。
威胁行为者最近利用其他影响 Mitel 设备的安全漏洞进行了破纪录的 DDoS 放大 攻击。
暴露在互联网上的 Mitel 电器 (Shodan)
洛伦兹是谁?
至少自 2020 年 12 月以来,Lorenz 勒索软件组织一直以全球企业组织为目标,要求每位受害者支付数十万美元的赎金。
ID Ransomware 的Michael Gillespie 告诉 BleepingComputer,Lorenz 加密器与之前被称为 ThunderCrypt 的勒索软件操作使用的加密器相同。
该团伙还以 向其他威胁参与者出售加密前窃取的数据 以迫使其受害者支付赎金并将其受害者内部网络的访问权限以及被盗数据出售给其他网络犯罪分子而闻名。
如果在将被盗数据作为受密码保护的 RAR 档案泄露后不支付赎金,Lorenz 还会释放密码以访问泄露的档案,以提供对被盗文件的公开访问。
2021 年 6 月,荷兰网络安全公司 Tesorion 发布了免费的 Lorenz 勒索软件解密器 ,可用于恢复某些文件类型,包括 Office 文档、PDF 文件、图像和视频。
之前的受害者名单包括 总部位于德国的跨国国防承包商Hensoldt和加拿大主要邮政运营商加拿大邮政。
