Rilevamento del Ransomware Lorenz: Il Gruppo Sfrutta la Vulnerabilità CVE-2022-29499 nei Dispositivi VoIP Mitel

Ultime Minacce

Settembre 16, 2022

3 min di lettura

Rilevamento del Ransomware Lorenz: Il Gruppo Sfrutta la Vulnerabilità CVE-2022-29499 nei Dispositivi VoIP Mitel

Anastasiia Yevdokimova
Anastasiia Yevdokimova

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Indice dei Contenuti

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Il gruppo di minacce alla sicurezza Lorenz ha preso di mira le reti aziendali negli Stati Uniti, Cina e Messico in una campagna di ransomware in corso dal 2021. Sfruttando una vulnerabilità critica nei dispositivi Mitel MiVoice Connect etichettata CVE-2022-29499, gli avversari mirano ad ottenere persistenza all’interno di una rete compromessa. Questa vulnerabilità RCE è stata scoperta per la prima volta ad aprile e corretta tre mesi dopo.

Attualmente, più di 19.000 dispositivi restano vulnerabili a questi tentativi di sfruttamento.

Individuazione del ransomware Lorenz

Per identificare i comportamenti associati al ransomware Lorenz, utilizza i seguenti contenuti di rilevamento delle minacce rilasciati da esperti contributori della Threat Bounty Osman Demir and Zaw Min Htun (ZETA):

Comportamento del ransomware Lorenz (tramite process_creation)

Possibile persistenza del gruppo di ransomware Lorenz tramite rilevamento di file associati (tramite file_event)

Il kit delle regole è allineato con il framework MITRE ATT&CK® v.10 e ha traduzioni per 26 piattaforme SIEM, EDR & XDR.

In un’epoca in cui la minaccia sempre crescente degli attacchi informatici guida il mondo, promuoviamo l’importanza fondamentale di una rilevazione tempestiva delle minacce e offriamo soluzioni scalabili per ottenere visibilità sulle minacce rilevanti alle tue necessità di sicurezza basate sul framework ATT&CK. Per cercare senza sforzo minacce correlate e approfondire istantaneamente i metadati contestuali, come le referenze CTI e ATT&CK, clicca sul Esplora rilevazioni pulsante e approfondisci i risultati di ricerca pertinenti utilizzando il motore di ricerca di SOC Prime per Threat Detection, Threat Hunting e CTI.

Esplora rilevazioni  

Analisi del Ransomware Lorenz

I dati di ricerca mostrano che gli avversari utilizzano i sistemi telefonici delle aziende per l’accesso iniziale alle loro reti aziendali. Curiosamente, gli attacchi documentati mostrano un intervallo di un mese tra la violazione iniziale del sistema e l’inizio dell’attività post-sfruttamento. Per l’esfiltrazione dei dati, la banda di ransomware Lorenz ha utilizzato lo strumento FTP FileZilla.

Questo gruppo criminale si è costruito una reputazione di avversari che intraprendono attacchi di alto profilo, lasciando i portafogli delle loro vittime più vuoti, ottenendo milioni in pagamenti di riscatto. Il gruppo Lorenz ha lanciato attacchi di doppia estorsione, pubblicando dati rubati sul loro sito web o vendendoli a terzi.

Ad agosto, abbiamo introdotto alcune miglioramenti significativi al Threat Bounty Program di SOC Prime. Complimenti ai nostri 5 contributori più popolari del Threat Bounty (classifica basata sui contenuti):

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

Scopri di più sul programma di sviluppo di contenuti di rilevamento più prolifico del mondo cibernetico e assicurati il tuo posto tra i leader del settore con SOC Prime. and secure your place among industry leaders with SOC Prime.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro