Se ha observado que los operadores detrás de la operación de ransomware Lornenz explotan una falla de seguridad crítica ahora parcheada en Mitel MiVoice Connect para obtener un punto de apoyo en los entornos de destino para actividades maliciosas de seguimiento.
«La actividad maliciosa inicial se originó en un dispositivo Mitel ubicado en el perímetro de la red», investigadores de la firma de ciberseguridad Arctic Wolf dijo en un informe publicado esta semana.
«Lorenz explotado CVE-2022-29499una vulnerabilidad de ejecución remota de código que afecta al componente Mitel Service Appliance de MiVoice Connect, para obtener un shell inverso y posteriormente utilizado Cincel como una herramienta de túnel para pivotar en el medio ambiente».
Lorenz, como muchos otros grupos de ransomware, es conocido por la doble extorsión extrayendo datos antes de cifrar los sistemas, con el actor apuntando a las pequeñas y medianas empresas (PYMES) ubicadas en los EE. UU., y en menor medida en China y México, ya que al menos febrero de 2021.
Llamándolo un «ransomware en constante evolución», Cybereason señalado que Lorenz «se cree que es un cambio de marca del ransomware ‘.sZ40’ que se descubrió en octubre de 2020».
El armamento de los dispositivos Mitel VoIP para ataques de ransomware refleja los hallazgos recientes de CrowdStrike, que reveló detalles de un intento de intrusión de ransomware que aprovechó la misma táctica para lograr la ejecución remota de código contra un objetivo no identificado.
Los productos Mitel VoIP también son una punto de entrada lucrativo a la luz del hecho de que hay casi 20,000 dispositivos expuestos a Internet en línea, como reveló por el investigador de seguridad Kevin Beaumont, haciéndolos vulnerables a ataques maliciosos.
En un ataque de ransomware Lorenz investigado por Arctic Wolf, los actores de amenazas armaron la falla de ejecución remota de código para establecer un shell inverso y descargar la utilidad de proxy Chisel.
Esto implica que el acceso inicial se facilitó con la ayuda de un intermediario de acceso inicial (IAB) que posee un exploit para CVE-2022-29499 o que los actores de amenazas tienen la capacidad de hacerlo por sí mismos.
Lo que también es notable es que el grupo de Lorenz esperó casi un mes después de obtener el acceso inicial para realizar acciones posteriores a la explotación, incluido el establecimiento de la persistencia por medio de un shell web, la recolección de credenciales, el reconocimiento de la red, la escalada de privilegios y el movimiento lateral.
El compromiso finalmente culminó con la filtración de datos usando FileZilla, luego de lo cual los hosts fueron encriptados usando el servicio BitLocker de Microsoft, lo que subraya el abuso continuo de los binarios de vida libre (LOLBIN) por parte de los adversarios.
«Monitorear solo los activos críticos no es suficiente para las organizaciones», dijeron los investigadores, y agregaron que «los equipos de seguridad deben monitorear todos los dispositivos externos en busca de posibles actividades maliciosas, incluidos los dispositivos VoIP e IoT».
«Los actores de amenazas están comenzando a cambiar la orientación a activos menos conocidos o monitoreados para evitar la detección».