Lorenz Ransomware-Erkennung: Die Gruppe nutzt die CVE-2022-29499-Schwachstelle in Mitel VoIP-Geräten aus

[post-views]
September 16, 2022 · 2 min zu lesen
Lorenz Ransomware-Erkennung: Die Gruppe nutzt die CVE-2022-29499-Schwachstelle in Mitel VoIP-Geräten aus

Die Lorenz-Sicherheitsbedrohungsgruppe hat in einer fortlaufenden Ransomware-Kampagne seit Anfang 2021 Unternehmensnetzwerke in den USA, China und Mexiko ins Visier genommen. Dabei nutzen die Angreifer eine kritische Sicherheitslücke in Mitel MiVoice Connect Appliances aus, die als CVE-2022-29499 gekennzeichnet ist, um eine Persistenz in einem kompromittierten Netzwerk zu erlangen. Diese RCE-Schwachstelle wurde erstmals im April entdeckt und drei Monate später gepatcht.

Derzeit sind mehr als 19.000 Geräte anfällig für diese Ausbeutungsversuche.

Lorenz Ransomware erkennen

Um Verhaltensweisen zu identifizieren, die mit der Lorenz-Ransomware in Zusammenhang stehen, nutzen Sie den folgenden Bedrohungserkennungsinhalt, der von erfahrenen Threat-Bounty-Beitragenden veröffentlicht wurde Osman Demir and Zaw Min Htun (ZETA):

Lorenz-Ransomware-Verhalten (über process_creation)

Mögliche Persistenz der Lorenz-Ransomware-Gruppe durch Erkennung assoziierter Dateien (über file_event)

Das Regelkit ist mit dem MITRE ATT&CK®-Framework v.10 ausgerichtet und verfügt über Übersetzungen für 26 SIEM-, EDR- & XDR-Plattformen.

In einem Zeitalter, in dem die wachsende Bedrohung durch Cyberangriffe die Welt antreibt, fördern wir die enorme Bedeutung der rechtzeitigen Bedrohungserkennung und bieten skalierbare Lösungen, um Einblicke in Bedrohungen zu gewinnen, die für Ihre Sicherheitsbedürfnisse auf Basis des ATT&CK-Frameworks relevant sind. Um mühelos nach verwandten Bedrohungen zu suchen und sofort in kontextbezogene Metadaten, wie CTI- und ATT&CK-Referenzen, einzutauchen, klicken Sie auf den Ergebnisse erkunden -Button und gehen Sie mit der SOC Prime Suchmaschine für Bedrohungserkennung, Threat Hunting und CTI in relevante Suchergebnisse.

Ergebnisse erkunden  

Lorenz Ransomware Analyse

Forschungsdaten zeigen, dass Angreifer Telefonsysteme von Unternehmen für den erstmaligen Zugang zu ihrem Unternehmensnetzwerk nutzen. Interessanterweise zeigen die dokumentierten Angriffe eine zeitliche Lücke von einem Monat zwischen dem ersten Systembruch und dem Beginn der Post-Exploitation-Aktivität. Für die Datenexfiltration nutzte die Lorenz-Ransomware-Gang das FileZilla FTP-Tool.

Dieser kriminelle Kreis hat den Ruf erworben, sich in hochkarätigen Angriffen zu engagieren und die Geldbörsen ihrer Opfer durch erzwungene Millionen-Lösegeldzahlungen zu schmälern. Die Lorenz-Gruppe startete Doppel-Erpressungsangriffe, indem sie gestohlene Daten auf ihrer Website veröffentlichte oder an Dritte verkaufte.

Im August haben wir einige signifikante Verbesserungen am Threat Bounty Programm von SOC Prime eingeführt. Anerkennung an unsere 5 beliebtesten Threat Bounty-Beitragenden (inhaltlich bewertet):

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

Erfahren Sie mehr über das weltweit produktivste Entwicklerprogramm für Erkennungsinhalte und sichern Sie sich Ihren Platz unter den Branchenführern mit SOC Prime.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen