Détection du Ransomware Lorenz : Le Groupe Exploite la Vulnérabilité CVE-2022-29499 dans les Appareils Mitel VoIP

Le groupe de menace de sécurité Lorenz cible les réseaux d’entreprise aux États-Unis, en Chine et au Mexique dans le cadre d’une campagne de ransomware en cours depuis début 2021. Exploitant une faille de sécurité critique dans les appareils Mitel MiVoice Connect identifiés sous l’étiquette CVE-2022-29499, les adversaires visent à obtenir une persistance au sein d’un réseau compromis. Cette vulnérabilité RCE a été découverte pour la première fois en avril et corrigée trois mois plus tard.

Actuellement, plus de 19 000 appareils restent vulnérables à ces tentatives d’exploitation.

Détecter le Ransomware Lorenz

Pour identifier les comportements associés au ransomware Lorenz, utilisez le contenu de détection des menaces suivant, publié par des contributeurs expérimentés de Threat Bounty. Osman Demir and Zaw Min Htun (ZETA) :

Comportement du Ransomware Lorenz (via process_creation)

Possibilité de persistance du groupe de Ransomware Lorenz par détection de fichiers associés (via file_event)

Le kit de règles est aligné avec le cadre MITRE ATT&CK® v.10 et comprend des traductions pour 26 plateformes SIEM, EDR & XDR.

À une époque où la menace croissante des cyberattaques prévaut dans le monde, nous promouvons l’importance primordiale de la détection rapide des menaces et proposons des solutions évolutives pour obtenir une visibilité sur les menaces pertinentes pour vos besoins en matière de sécurité, basées sur le cadre ATT&CK. Pour rechercher facilement des menaces connexes et plonger instantanément dans les métadonnées contextuelles, comme les références CTI et ATT&CK, cliquez sur le Explorer les Détections bouton et approfondissez les résultats de recherche pertinents en utilisant le moteur de recherche de SOC Prime pour la Détection des Menaces, la Traque des Menaces et le CTI.

Explorer les Détections  

Analyse du Ransomware Lorenz

Les données de recherche montrent que les adversaires utilisent les systèmes téléphoniques des entreprises pour accéder initialement à leurs réseaux d’entreprise. Fait intéressant, les attaques documentées montrent un écart de temps d’un mois entre la première compromission du système et le début de l’activité de post-exploitation. Pour l’exfiltration de données, le gang de ransomware Lorenz a utilisé l’outil FTP FileZilla.

Ce cercle criminel a acquis la réputation d’adversaires qui s’engagent dans des attaques de haut niveau, laissant les portefeuilles de leurs victimes plus légers en obtenant des millions en paiements de rançon. Le groupe Lorenz a lancé des attaques de double extorsion, publiant des données volées sur leur site web ou les vendant à des tiers.

En août, nous avons introduit des améliorations significatives au programme SOC Prime’s Threat Bounty. Bravo à nos cinq contributeurs les plus populaires de Threat Bounty (classement basé sur le contenu) :

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

En savoir plus sur le programme de développement de contenu de détection le plus prolifique du monde de la cybersécurité et sécurisez votre place parmi les leaders de l’industrie avec SOC Prime. and secure your place among industry leaders with SOC Prime.