{"id":364548,"date":"2022-09-14T14:43:04","date_gmt":"2022-09-14T16:43:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lorenz-ransomware-exploite-les-systemes-voip-de-mitel-pour-violer-les-reseaux-dentreprise\/"},"modified":"2022-09-14T14:43:05","modified_gmt":"2022-09-14T16:43:05","slug":"lorenz-ransomware-exploite-les-systemes-voip-de-mitel-pour-violer-les-reseaux-dentreprise","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lorenz-ransomware-exploite-les-systemes-voip-de-mitel-pour-violer-les-reseaux-dentreprise\/","title":{"rendered":"Lorenz Ransomware exploite les syst\u00e8mes VoIP de Mitel pour violer les r\u00e9seaux d&#8217;entreprise"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les op\u00e9rateurs \u00e0 l&#8217;origine de l&#8217;op\u00e9ration de ran\u00e7ongiciel Lornenz ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;exploiter une faille de s\u00e9curit\u00e9 critique d\u00e9sormais corrig\u00e9e dans Mitel MiVoice Connect pour prendre pied dans des environnements cibles pour des activit\u00e9s malveillantes ult\u00e9rieures.<\/p>\n<p>&#8220;L&#8217;activit\u00e9 malveillante initiale provenait d&#8217;un appareil Mitel install\u00e9 sur le p\u00e9rim\u00e8tre du r\u00e9seau&#8221;, ont d\u00e9clar\u00e9 des chercheurs de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Arctic Wolf. <a rel=\"nofollow noopener\" href=\"https:\/\/arcticwolf.com\/resources\/blog\/lorenz-ransomware-chiseling-in\/\" target=\"_blank\">a dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>&#8220;Lorenz a exploit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.mitel.com\/en-ca\/support\/security-advisories\/mitel-product-security-advisory-22-0002\" target=\"_blank\">CVE-2022-29499<\/a>une vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance impactant le composant Mitel Service Appliance de MiVoice Connect, pour obtenir un reverse shell et ensuite utilis\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/jpillora\/chisel\" target=\"_blank\">Ciseau<\/a> comme un outil de creusement de tunnel pour pivoter dans l&#8217;environnement.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Lorenz, comme de nombreux autres groupes de ran\u00e7ongiciels, est connu pour son double extorsion en exfiltrant des donn\u00e9es avant de chiffrer les syst\u00e8mes, l&#8217;acteur ciblant les petites et moyennes entreprises (PME) situ\u00e9es aux \u00c9tats-Unis, et dans une moindre mesure en Chine et au Mexique, depuis au moins F\u00e9vrier 2021.<\/p>\n<p>Le qualifiant de &#8220;ransomware en constante \u00e9volution&#8221;, Cybereason <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/research\/cybereason-vs.-lorenz-ransomware\" target=\"_blank\">c&#8217;est not\u00e9<\/a> que Lorenz &#8220;serait un changement de marque du ran\u00e7ongiciel &#8216;.sZ40&#8217; qui a \u00e9t\u00e9 d\u00e9couvert en octobre 2020&#8221;.<\/p>\n<p>La militarisation des appliances Mitel VoIP pour les attaques de ransomware refl\u00e8te les r\u00e9centes d\u00e9couvertes de CrowdStrike, qui ont r\u00e9v\u00e9l\u00e9 les d\u00e9tails d&#8217;une tentative d&#8217;intrusion de ransomware qui a utilis\u00e9 la m\u00eame tactique pour ex\u00e9cuter du code \u00e0 distance contre une cible sans nom.<\/p>\n<p>Les produits Mitel VoIP sont \u00e9galement un <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2022\/07\/07\/exploitation-of-mitel-mivoice-connect-sa-cve-2022-29499\/\" target=\"_blank\">point d&#8217;entr\u00e9e lucratif<\/a> compte tenu du fait qu&#8217;il existe pr\u00e8s de 20 000 appareils expos\u00e9s \u00e0 Internet en ligne, comme <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1540309810176217088\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> par le chercheur en s\u00e9curit\u00e9 Kevin Beaumont, les rendant vuln\u00e9rables aux attaques malveillantes.<\/p>\n<p>Dans une attaque de ran\u00e7ongiciel Lorenz \u00e9tudi\u00e9e par Arctic Wolf, les acteurs de la menace ont militaris\u00e9 la faille d&#8217;ex\u00e9cution de code \u00e0 distance pour \u00e9tablir un shell invers\u00e9 et t\u00e9l\u00e9charger l&#8217;utilitaire proxy Chisel.<\/p>\n<p>Cela implique que l&#8217;acc\u00e8s initial a \u00e9t\u00e9 facilit\u00e9 avec l&#8217;aide d&#8217;un courtier d&#8217;acc\u00e8s initial (IAB) qui est en possession d&#8217;un exploit pour CVE-2022-29499 ou que les acteurs de la menace ont la capacit\u00e9 de le faire eux-m\u00eames. <\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Ce qui est \u00e9galement remarquable, c&#8217;est que le groupe Lorenz a attendu pr\u00e8s d&#8217;un mois apr\u00e8s avoir obtenu l&#8217;acc\u00e8s initial pour mener des actions post-exploitation, y compris l&#8217;\u00e9tablissement de la persistance au moyen d&#8217;un shell Web, la collecte des informations d&#8217;identification, la reconnaissance du r\u00e9seau, l&#8217;escalade des privil\u00e8ges et le mouvement lat\u00e9ral.<\/p>\n<p>Le compromis a finalement abouti \u00e0 l&#8217;exfiltration de donn\u00e9es \u00e0 l&#8217;aide de FileZilla, apr\u00e8s quoi les h\u00f4tes ont \u00e9t\u00e9 crypt\u00e9s \u00e0 l&#8217;aide du service BitLocker de Microsoft, soulignant l&#8217;abus continu des binaires vivant hors de la terre (LOLBIN) par les adversaires.<\/p>\n<p>&#8220;Surveiller uniquement les actifs critiques ne suffit pas pour les organisations&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant que &#8220;les \u00e9quipes de s\u00e9curit\u00e9 devraient surveiller tous les appareils externes pour d\u00e9tecter toute activit\u00e9 malveillante potentielle, y compris les appareils VoIP et IoT&#8221;.<\/p>\n<p>&#8220;Les acteurs de la menace commencent \u00e0 d\u00e9placer le ciblage vers des actifs moins connus ou surveill\u00e9s pour \u00e9viter d&#8217;\u00eatre d\u00e9tect\u00e9s.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/lorenz-ransomware-exploit-mitel-voip.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les op\u00e9rateurs \u00e0 l&#8217;origine de l&#8217;op\u00e9ration de ran\u00e7ongiciel Lornenz ont \u00e9t\u00e9 observ\u00e9s en train d&#8217;exploiter une faille de s\u00e9curit\u00e9 critique d\u00e9sormais corrig\u00e9e dans Mitel MiVoice Connect pour prendre pied dans des environnements cibles pour des activit\u00e9s malveillantes ult\u00e9rieures. &#8220;L&#8217;activit\u00e9 malveillante initiale provenait d&#8217;un appareil Mitel install\u00e9 sur le p\u00e9rim\u00e8tre du r\u00e9seau&#8221;, ont d\u00e9clar\u00e9 des chercheurs [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":364549,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,3482,7727,4157,4159,4171,4170,65,4167,19990,4160,22358,4163,4162,185,4392,1769,4172,4169,5046,4166,2705,82189,4164],"class_list":["post-364548","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dentreprise","tag-exploite","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-lorenz","tag-mises-a-jour-de-la-cybersecurite","tag-mitel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-ransomware","tag-reseaux","tag-securite-informatique","tag-securite-internet","tag-systemes","tag-violation-de-donnees","tag-violer","tag-voip","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/364548","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=364548"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/364548\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/364549"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=364548"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=364548"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=364548"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}