Se ha observado que los operadores detr\u00e1s de la operaci\u00f3n de ransomware Lornenz explotan una falla de seguridad cr\u00edtica ahora parcheada en Mitel MiVoice Connect para obtener un punto de apoyo en los entornos de destino para actividades maliciosas de seguimiento.<\/p>\n
“La actividad maliciosa inicial se origin\u00f3 en un dispositivo Mitel ubicado en el per\u00edmetro de la red”, investigadores de la firma de ciberseguridad Arctic Wolf dijo<\/a> en un informe publicado esta semana.<\/p>\n “Lorenz explotado CVE-2022-29499<\/a>una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo que afecta al componente Mitel Service Appliance de MiVoice Connect, para obtener un shell inverso y posteriormente utilizado Cincel<\/a> como una herramienta de t\u00fanel para pivotar en el medio ambiente”.<\/p>\n Lorenz, como muchos otros grupos de ransomware, es conocido por la doble extorsi\u00f3n extrayendo datos antes de cifrar los sistemas, con el actor apuntando a las peque\u00f1as y medianas empresas (PYMES) ubicadas en los EE. UU., y en menor medida en China y M\u00e9xico, ya que al menos febrero de 2021.<\/p>\n Llam\u00e1ndolo un “ransomware en constante evoluci\u00f3n”, Cybereason se\u00f1alado<\/a> que Lorenz “se cree que es un cambio de marca del ransomware ‘.sZ40’ que se descubri\u00f3 en octubre de 2020”.<\/p>\n El armamento de los dispositivos Mitel VoIP para ataques de ransomware refleja los hallazgos recientes de CrowdStrike, que revel\u00f3 detalles de un intento de intrusi\u00f3n de ransomware que aprovech\u00f3 la misma t\u00e1ctica para lograr la ejecuci\u00f3n remota de c\u00f3digo contra un objetivo no identificado.<\/p>\n Los productos Mitel VoIP tambi\u00e9n son una punto de entrada lucrativo<\/a> a la luz del hecho de que hay casi 20,000 dispositivos expuestos a Internet en l\u00ednea, como revel\u00f3<\/a> por el investigador de seguridad Kevin Beaumont, haci\u00e9ndolos vulnerables a ataques maliciosos.<\/p>\n En un ataque de ransomware Lorenz investigado por Arctic Wolf, los actores de amenazas armaron la falla de ejecuci\u00f3n remota de c\u00f3digo para establecer un shell inverso y descargar la utilidad de proxy Chisel.<\/p>\n Esto implica que el acceso inicial se facilit\u00f3 con la ayuda de un intermediario de acceso inicial (IAB) que posee un exploit para CVE-2022-29499 o que los actores de amenazas tienen la capacidad de hacerlo por s\u00ed mismos. <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n