Die Lorenz-Sicherheitsbedrohungsgruppe hat in einer fortlaufenden Ransomware-Kampagne seit Anfang 2021 Unternehmensnetzwerke in den USA, China und Mexiko ins Visier genommen. Dabei nutzen die Angreifer eine kritische Sicherheitslücke in Mitel MiVoice Connect Appliances aus, die als CVE-2022-29499 gekennzeichnet ist, um eine Persistenz in einem kompromittierten Netzwerk zu erlangen. Diese RCE-Schwachstelle wurde erstmals im April entdeckt und drei Monate später gepatcht.
Derzeit sind mehr als 19.000 Geräte anfällig für diese Ausbeutungsversuche.
Lorenz Ransomware erkennen
Um Verhaltensweisen zu identifizieren, die mit der Lorenz-Ransomware in Zusammenhang stehen, nutzen Sie den folgenden Bedrohungserkennungsinhalt, der von erfahrenen Threat-Bounty-Beitragenden veröffentlicht wurde Osman Demir and Zaw Min Htun (ZETA):
Lorenz-Ransomware-Verhalten (über process_creation)
Das Regelkit ist mit dem MITRE ATT&CK®-Framework v.10 ausgerichtet und verfügt über Übersetzungen für 26 SIEM-, EDR- & XDR-Plattformen.
In einem Zeitalter, in dem die wachsende Bedrohung durch Cyberangriffe die Welt antreibt, fördern wir die enorme Bedeutung der rechtzeitigen Bedrohungserkennung und bieten skalierbare Lösungen, um Einblicke in Bedrohungen zu gewinnen, die für Ihre Sicherheitsbedürfnisse auf Basis des ATT&CK-Frameworks relevant sind. Um mühelos nach verwandten Bedrohungen zu suchen und sofort in kontextbezogene Metadaten, wie CTI- und ATT&CK-Referenzen, einzutauchen, klicken Sie auf den Ergebnisse erkunden -Button und gehen Sie mit der SOC Prime Suchmaschine für Bedrohungserkennung, Threat Hunting und CTI in relevante Suchergebnisse.
Lorenz Ransomware Analyse
Forschungsdaten zeigen, dass Angreifer Telefonsysteme von Unternehmen für den erstmaligen Zugang zu ihrem Unternehmensnetzwerk nutzen. Interessanterweise zeigen die dokumentierten Angriffe eine zeitliche Lücke von einem Monat zwischen dem ersten Systembruch und dem Beginn der Post-Exploitation-Aktivität. Für die Datenexfiltration nutzte die Lorenz-Ransomware-Gang das FileZilla FTP-Tool.
Dieser kriminelle Kreis hat den Ruf erworben, sich in hochkarätigen Angriffen zu engagieren und die Geldbörsen ihrer Opfer durch erzwungene Millionen-Lösegeldzahlungen zu schmälern. Die Lorenz-Gruppe startete Doppel-Erpressungsangriffe, indem sie gestohlene Daten auf ihrer Website veröffentlichte oder an Dritte verkaufte.
Im August haben wir einige signifikante Verbesserungen am Threat Bounty Programm von SOC Prime eingeführt. Anerkennung an unsere 5 beliebtesten Threat Bounty-Beitragenden (inhaltlich bewertet):
Erfahren Sie mehr über das weltweit produktivste Entwicklerprogramm für Erkennungsinhalte und sichern Sie sich Ihren Platz unter den Branchenführern mit SOC Prime.