Lorenz fidye yazılımı çetesi, şirket ağlarına ilk erişim için telefon sistemlerini kullanarak işletmeleri ihlal etmek için Mitel Mivoice VoIP cihazlarında kritik bir güvenlik açığı kullanıyor.
Arctic Wolf Labs güvenlik araştırmacıları, Crowdstrike'ın Haziran ayında bildirdiği gibi, CVE-2022-29499 hatasından yararlanan fidye yazılımı saldırılarına bağlı taktikler, teknikler ve prosedürler (TTP'ler) ile önemli bir örtüşmeyi gözlemledikten sonra bu yeni taktiği fark etti.
Bu olaylar belirli bir fidye yazılımı çetesiyle bağlantılı olmasa da, Arctic Wolf Labs benzer kötü amaçlı etkinlikleri Lorenz çetesine yüksek güvenle atfedebildi.
Güvenlik araştırmacıları, "İlk kötü niyetli etkinlik, ağ çevresinde oturan bir Mitel cihazından kaynaklandı."
"Lorenz, Mivoice Connect'in Mitel Service Cihaz bileşenini etkileyen bir uzaktan kod yürütme kırılganlığı olan CVE-2022-29499'dan yararlandı ve daha sonra çevreye dönecek bir tünel aracı olarak keski kullandı."
Bu, Mitel'in IP üzerinden (VOIP) ürünlerinin (devlet kurumları dahil) kritik sektörlerdeki kuruluşlar tarafından kullanıldığı ve şu anda güvenlik başına internet üzerinden saldırılara maruz kalan 19.000'den fazla cihazın kullanıldığı göz önüne alındığında, çetenin cephaneliğine önemli bir ektir. Uzman Kevin Beaumont.
Mitel, Nisan ayında etkilenen Mivoice Connect sürümleri için bir iyileştirme komut dosyası yayınladıktan sonra Haziran 2022'nin başlarında güvenlik yamalarını serbest bırakarak güvenlik açığını ele aldı.
Tehdit aktörleri yakın zamanda rekor kıran DDOS amplifikasyon saldırılarında Mitel cihazlarını etkileyen diğer güvenlik kusurlarından yararlandı.
Lorenz Fidye Grubu, en az Aralık 2020'den beri dünya çapında işletme kuruluşlarını hedefliyor ve her kurbandan yüz binlerce dolarlık fidye talep ediyor.
ID Ransomware'den Michael Gillespie, BleepingComputer'a Lorenz şifrelemesinin ThunderCrypt olarak bilinen önceki fidye yazılımı işlemi tarafından kullanılanla aynı olduğunu söyledi.
Bu çete, kurbanlarını fidye ödemeleri için baskı yapmak ve kurbanlarının iç ağlarına çalıntı verilerle birlikte diğer siber suçlulara erişim satmaları için diğer tehdit aktörlerine şifrelemeden önce çalınan verileri satmakla da biliniyor.
Parola korumalı RAR arşivleri olarak çalınan verileri sızdırdıktan sonra fidye ödenmezse, Lorenz ayrıca çalıntı dosyalara halka erişim sağlamak için sızdırılan arşivlere erişmek için şifreyi serbest bırakır.
Haziran 2021'de, Hollandalı siber güvenlik firması Tesorion, ofis belgeleri, PDF dosyaları, resimler ve videolar da dahil olmak üzere bazı dosya türlerini kurtarmak için kullanılabilecek ücretsiz bir Lorenz fidye yazılımı şifresini yayınladı.
Önceki kurbanların listesi, merkezi Almanya'da bulunan çokuluslu bir savunma yüklenicisi olan Hensoldt ve Kanada'nın birincil posta operatörü Kanada Post'u içeriyor.
Cisco, Yanluowang fidye yazılımını sızdıran çalıntı şirket verilerini onayladı
Yeni aralıklı şifreleme taktiğine geçiş fidye yazılımı çeteleri
Fidye Yazılımında Hafta - 9 Eylül 2022 - Ateş Altında Okullar
Vice Society Lausd Fidye Yazılımı Saldırısı, 500GB veri hırsızlığı iddia ediyor
Microsoft: İranlı bilgisayar korsanları Bitlocker'ı kullanarak Windows sistemlerini şifreledi
Kaynak: Bleeping Computer