Rilevamento del Ransomware Lorenz: Il Gruppo Sfrutta la Vulnerabilità CVE-2022-29499 nei Dispositivi VoIP Mitel

Il gruppo di minacce alla sicurezza Lorenz ha preso di mira le reti aziendali negli Stati Uniti, Cina e Messico in una campagna di ransomware in corso dal 2021. Sfruttando una vulnerabilità critica nei dispositivi Mitel MiVoice Connect etichettata CVE-2022-29499, gli avversari mirano ad ottenere persistenza all’interno di una rete compromessa. Questa vulnerabilità RCE è stata scoperta per la prima volta ad aprile e corretta tre mesi dopo.

Attualmente, più di 19.000 dispositivi restano vulnerabili a questi tentativi di sfruttamento.

Individuazione del ransomware Lorenz

Per identificare i comportamenti associati al ransomware Lorenz, utilizza i seguenti contenuti di rilevamento delle minacce rilasciati da esperti contributori della Threat Bounty Osman Demir and Zaw Min Htun (ZETA):

Comportamento del ransomware Lorenz (tramite process_creation)

Possibile persistenza del gruppo di ransomware Lorenz tramite rilevamento di file associati (tramite file_event)

Il kit delle regole è allineato con il framework MITRE ATT&CK® v.10 e ha traduzioni per 26 piattaforme SIEM, EDR & XDR.

In un’epoca in cui la minaccia sempre crescente degli attacchi informatici guida il mondo, promuoviamo l’importanza fondamentale di una rilevazione tempestiva delle minacce e offriamo soluzioni scalabili per ottenere visibilità sulle minacce rilevanti alle tue necessità di sicurezza basate sul framework ATT&CK. Per cercare senza sforzo minacce correlate e approfondire istantaneamente i metadati contestuali, come le referenze CTI e ATT&CK, clicca sul Esplora rilevazioni pulsante e approfondisci i risultati di ricerca pertinenti utilizzando il motore di ricerca di SOC Prime per Threat Detection, Threat Hunting e CTI.

Esplora rilevazioni  

Analisi del Ransomware Lorenz

I dati di ricerca mostrano che gli avversari utilizzano i sistemi telefonici delle aziende per l’accesso iniziale alle loro reti aziendali. Curiosamente, gli attacchi documentati mostrano un intervallo di un mese tra la violazione iniziale del sistema e l’inizio dell’attività post-sfruttamento. Per l’esfiltrazione dei dati, la banda di ransomware Lorenz ha utilizzato lo strumento FTP FileZilla.

Questo gruppo criminale si è costruito una reputazione di avversari che intraprendono attacchi di alto profilo, lasciando i portafogli delle loro vittime più vuoti, ottenendo milioni in pagamenti di riscatto. Il gruppo Lorenz ha lanciato attacchi di doppia estorsione, pubblicando dati rubati sul loro sito web o vendendoli a terzi.

Ad agosto, abbiamo introdotto alcune miglioramenti significativi al Threat Bounty Program di SOC Prime. Complimenti ai nostri 5 contributori più popolari del Threat Bounty (classifica basata sui contenuti):

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

Scopri di più sul programma di sviluppo di contenuti di rilevamento più prolifico del mondo cibernetico e assicurati il tuo posto tra i leader del settore con SOC Prime. and secure your place among industry leaders with SOC Prime.