Lorenz Ransomware Group, Telefon Sistemlerini Kullanarak Kurumsal Ağları İhlal Ediyor

ReusLux
17 Eyl, 2022

Google News Abone Ol

Lorenz Ransomware Group, Telefon Sistemlerini Kullanarak Kurumsal Ağları İhlal Ediyor

Mitel'in MiVoice VOIP cihazlarını kurumsal kurumsal kurumsal ağa erişmenin bir aracı olarak kullanan Lorenz fidye yazılımı çetesi, şimdi işletmelerin güvenliğini tehlikeye atmak için cihazlarda kritik bir güvenlik açığı kullanıyor.

Arctic Wolf Labs'tan güvenlik araştırmacıları, bilgisayar korsanları tarafından kullanılan bu yeni taktiği keşfettiler. Araştırmacılar, CVE-2022-29499 güvenlik açığının, hatayı ilk erişim yöntemi olarak kullanan fidye yazılımı saldırılarında çok fazla kullanıldığını keşfetti.

Bu olaylarla bağlantılı belirli bir fidye yazılımı çetesi yoktu. Lorenz çetesi, Arctic Wolf Labs tarafından yüksek bir güven derecesiyle, yüksek derecede kesinlik ve hassasiyetle benzer kötü niyetli faaliyetlere atfedilebildi.

Ağ çevresindeki bir Mitel cihazı, ilk kötü amaçlı etkinlikte önemli bir rol oynamıştır. Lorenz tarafından CVE-2022-29499'dan yararlanarak Keski kullanarak çevreye dönme amacıyla ters bir shell elde edildi.

"Ters bir shell kurulduktan sonra, tehdit aktörleri gizli bir dizin oluşturmak için Mitel cihazının komut satırı arayüzünü (stcli) kullandılar ve açık kaynaklı TCP tünel aracı Chisel'in derlenmiş bir ikili dosyasını wget aracılığıyla doğrudan Github'dan indirmeye devam ettiler."

Çetenin cephaneliği, dünyanın birçok kritik sektöründe kullanılan Mitel VoIP ürünlerinin eklenmesiyle güçlendirildi.

Bu, çetenin cephaneliğine önemli bir katkıyı temsil ediyor. Mevcut durumda, güvenlik uzmanı Kevin Beaumont, 19.000'den fazla cihazın saldırıya uğrama riski altında olduğunu tahmin ediyor.

Lorenz Fidye Yazılımı Grubu

Lorenz fidye yazılımı grubu, Aralık 2020'den bu yana dünya çapındaki kurumsal kuruluşları hedef alıyor. Her kurbandan yüz binlerce dolarlık bir fidye ödemesi istenir.

Lorenz şifreleyicisinin, daha önce fidye yazılımı işlemlerinde kullanılan ThunderCrypt tarafından kullanılanla aynı olduğunu belirtmek önemlidir.

Bu çetenin suç çılgınlığının bir parçası olarak, şifrelemeden önce kurbanlarından çalınan veriler, kurbanlarını kontrol etmenin bir yolu olarak diğer tehdit aktörlerine satılmaktadır.

Çalınan veriler, fidye ödenmezse şifre korumalı RAR arşivleri olarak sızdırılacaktır. Lorenz, sızıntılar yoluyla çalınan dosyalara halka açık erişim sağlamak için, sızdırılan arşivlere erişmek için gereken şifreyi de sağlar.

IOC'leri burada bulabilirsiniz.

Öneriler

Aşağıda siber güvenlik analistleri tarafından önerilen tüm önerilerden bahsettik:

  • MiVoice Connect Sürüm R19.3'e Yükseltin
  • Dış Cihazları ve Web Uygulamalarını Tarayın
  • Kritik Varlıkları Doğrudan İnternet'e Maruz Bırakmayın
  • PowerShell günlüğünü yapılandırın
  • İş Yeri Dışı Günlüğe Kaydetmeyi Yapılandırın
  • Yedekleme aldığınızdan emin olun
  • Potansiyel Saldırıların Patlama Yarıçapını Sınırlayın

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url