Detección del Ransomware Lorenz: El Grupo Aprovecha la Vulnerabilidad CVE-2022-29499 en Dispositivos VoIP de Mitel

El grupo de amenazas de seguridad Lorenz ha estado apuntando a redes corporativas en Estados Unidos, China y México en una campaña de ransomware en curso desde principios de 2021. Aprovechándose de una vulnerabilidad de seguridad crítica en los dispositivos Mitel MiVoice Connect etiquetada como CVE-2022-29499, los adversarios buscan obtener persistencia dentro de una red comprometida. Esta vulnerabilidad de RCE fue descubierta por primera vez en abril y parcheada tres meses después.

Actualmente, más de 19,000 dispositivos siguen siendo vulnerables a estos esfuerzos de explotación.

Detectar el Ransomware Lorenz

Para identificar comportamientos asociados con el ransomware Lorenz, utilice el siguiente contenido de detección de amenazas publicado por experimentados colaboradores de Threat Bounty Osman Demir and Zaw Min Htun (ZETA):

Comportamiento del Ransomware Lorenz (vía process_creation)

Posible Persistencia del Grupo de Ransomware Lorenz mediante la Detección de Archivos Asociados (vía file_event)

El kit de reglas está alineado con el marco MITRE ATT&CK® v.10 y tiene traducciones para 26 plataformas SIEM, EDR & XDR.

En una era en la que una creciente amenaza de ciberataques impulsa al mundo, promovemos la importancia primordial de la detección oportuna de amenazas y ofrecemos soluciones escalables para obtener visibilidad sobre amenazas relevantes a tus necesidades de seguridad basadas en el marco ATT&CK. Para buscar sin esfuerzo amenazas relacionadas e investigar instantáneamente metadatos contextuales, como referencias CTI y ATT&CK, haz clic en el Explorar Detecciones botón y profundiza en los resultados de búsqueda relevantes usando el motor de búsqueda de SOC Prime para la Detección de Amenazas, la Caza de Amenazas y CTI.

Explorar Detecciones  

Análisis del Ransomware Lorenz

Los datos de investigación muestran que los adversarios utilizan los sistemas telefónicos de las empresas para obtener acceso inicial a sus redes corporativas. Curiosamente, los ataques documentados muestran una brecha de un mes entre la violación inicial del sistema y el comienzo de la actividad post-explotación. Para la exfiltración de datos, la banda de ransomware Lorenz utilizó la herramienta FTP FileZilla.

Este círculo criminal ha ganado una reputación de adversarios que participan en ataques de alto perfil, dejando las billeteras de sus víctimas más delgadas al adquirir millones en pagos de rescate. El grupo Lorenz lanzó ataques de doble extorsión, publicando datos robados en su sitio web o vendiéndolos a terceros.

En agosto, introdujimos algunas mejoras significativas al Programa Threat Bounty de SOC Prime. Felicitaciones a nuestros 5 colaboradores más populares de Threat Bounty (basado en contenido):

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

Aprende más sobre el programa de desarrollo de contenido de detección más prolífico del mundo cibernético y asegura tu lugar entre los líderes de la industria con SOC Prime. and secure your place among industry leaders with SOC Prime.