ローレンツ・セキュリティ脅威グループは、2021年から現在に至るまで、米国、中国、メキシコの企業ネットワークを標的にしたランサムウェアキャンペーンを実施しています。Mitell MiVoice Connect アプライアンスに見られる深刻なセキュリティホール(CVE-2022-29499)を活用して、攻撃者は侵害されたネットワーク内で永続性を得ることを狙っています。このリモートコード実行の脆弱性は4月に初めて発見され、3か月後に修正されました。
現在、19,000を超えるデバイスがこれらのエクスプロイト試行に対して脆弱のままです。
ローレンツランサムウェアの検出
ローレンツランサムウェアに関連する行動を識別するには、熟練したThreat Bounty貢献者によってリリースされた以下の脅威検出コンテンツを利用してください オスマン・デミル and ザウ・ミン・トゥン(ZETA):
関連ファイルの検出によるローレンツランサムウェアグループの持続性の可能性(ファイルイベント経由)
このルールキットはMITRE ATT&CK®フレームワークv.10に準拠しており、26のSIEM、EDR、XDRプラットフォーム向けに翻訳されています。
サイバーアタックの脅威がますます増大する時代に、我々はタイムリーな脅威検出の重要性を促進し、ATT&CKフレームワークに基づいてあなたのセキュリティニーズに関連する脅威への可視性を得るためのスケーラブルなソリューションを提供します。関連する脅威を簡単に検索し、CTIやATT&CKの参照のようなコンテキストメタデータにすぐに飛び込むには、 検出を探索 ボタンをクリックして、SOC Primeの脅威検出、脅威ハンティング、及びCTI用検索エンジンを使用して関連する検索結果を詳細に掘り下げてください。
ローレンツランサムウェア分析
研究データによれば、攻撃者は企業ネットワークへの初期アクセスに企業の電話システムを利用します。興味深いことに、文書化された攻撃では、初期システムの侵害とその後の搾取活動の開始の間に1か月のタイムギャップが見られます。データの持ち出しには、ローレンツランサムウェアグループはFileZilla FTPツールを使用しました。
この犯罪サークルは、ランサム支払いで数百万を得ることにより、被害者の財布を軽くする高プロファイル攻撃に従事する攻撃者としての評判を得ています。ローレンツグループは二重恐喝攻撃を開始し、盗んだデータを自らのウェブサイトで公開するか第三者に販売しました。
8月に、私たちはいくつかの 重要な改善 をSOC Prime’s Threat Bounty Programに導入しました。トップ5の最も人気のあるThreat Bounty貢献者(コンテンツベースの評価)に敬意を表します:
サイバー世界で最も多作な 検出コンテンツ開発プログラム について、SOC Primeで業界リーダーの一員としての地位を確保しましょう。