Detecção de Ransomware Lorenz: O Grupo Explora a Vulnerabilidade CVE-2022-29499 em Dispositivos Mitel VoIP

O grupo de ameaças à segurança Lorenz tem como alvo redes corporativas nos EUA, China e México em uma campanha de ransomware em andamento desde o início de 2021. Explorando uma falha crítica de segurança nos dispositivos Mitel MiVoice Connect identificada como CVE-2022-29499, os adversários visam obter persistência dentro de uma rede comprometida. Esta vulnerabilidade RCE foi descoberta pela primeira vez em abril e corrigida três meses depois.

Atualmente, mais de 19.000 dispositivos continuam vulneráveis a esses esforços de exploração.

Detectar Ransomware Lorenz

Para identificar comportamentos associados ao ransomware Lorenz, utilize o seguinte conteúdo de detecção de ameaças lançado por experientes contribuidores do Threat Bounty Osman Demir and Zaw Min Htun (ZETA):

Comportamento do Ransomware Lorenz (via process_creation)

Possível Persistência do Grupo de Ransomware Lorenz pela Detecção de Arquivos Associados (via file_event)

O kit de regras está alinhado com a estrutura MITRE ATT&CK® v.10 e possui traduções para 26 plataformas SIEM, EDR e XDR.

Em uma era em que a ameaça crescente de ciberataques impulsiona o mundo, promovemos a importância primordial da detecção oportuna de ameaças e oferecemos soluções escaláveis para obter visibilidade de ameaças relevantes às suas necessidades de segurança com base na estrutura ATT&CK. Para buscar facilmente ameaças relacionadas e mergulhar instantaneamente em metadados contextuais, como referências CTI e ATT&CK, clique no Explorar Detecções botão e aprofunde-se nos resultados de busca relevantes usando o motor de busca da SOC Prime para Detecção de Ameaças, Caça a Ameaças e CTI.

Explorar Detecções  

Análise do Ransomware Lorenz

Dados de pesquisa mostram que adversários usam sistemas telefônicos de empresas para acesso inicial às suas redes corporativas. Curiosamente, os ataques documentados mostram um intervalo de um mês entre a invasão inicial do sistema e o início da atividade pós-exploração. Para exfiltração de dados, o grupo de ransomware Lorenz usou a ferramenta FileZilla FTP.

Este círculo criminoso ganhou reputação de adversários que se envolvem em ataques de alto nível, deixando as carteiras de suas vítimas mais vazias ao adquirirem milhões em pagamentos de resgate. O grupo Lorenz lançou ataques de dupla extorsão, publicando dados roubados em seu website ou vendendo-os para terceiros.

Em agosto, introduzimos algumas melhorias significativas no Programa Threat Bounty da SOC Prime. Parabéns aos nossos 5 maiores contribuintes do Threat Bounty (classificação baseada em conteúdo):

Nattatorn Chuensangarun

Kyaw Pyiyt Htet

Aytek Aytemur

Furkan Celik

Osman Demir

Saiba mais sobre o programa de desenvolvimento de conteúdo de detecção mais prolífico do mundo cibernético e assegure seu lugar entre os líderes da indústria com a SOC Prime.