Lorenz zsarolóvírus VoIP-en keresztül
A Lorenz ransomware a Mitel MiVoice VOIP eszközök kritikus sérülékenységét kihasználva töri fel a vállalatokat, a telefonrendszereiket használja a vállalati hálózatokhoz való kezdeti hozzáféréshez.
Az Arctic Wolf Labs biztonsági kutatói azután vették észre ezt az új taktikát, miután jelentős átfedést figyeltek meg a CVE-2022-29499 sérülékenységet kihasználó ransomware támadásokkal kapcsolatban, ami megerősítette a Crodwstrike júniusi jelentését. Bár ezek az incidensek nem egy konkrét zsarolóvírus csoporthoz kapcsolódtak, az Arctic Wold Labs nagy magabiztossággal tudott hasonló rosszindulatú tevékenységet a Lorenz bandának tulajdonítani.
A Lorenz zsarolóvírus csoport már legalább 2021 februárja óta aktív, és sok zsarolóprogram-csoporthoz hasonlóan a kettős zsarolást alkalmazza. Az elmúlt negyedévben a csoport elsősorban az Egyesült Államokban található kis- és középvállalkozásokat célozta meg, de kiugró Kínában és Mexikóban is.
Az Arctic Wolf Labs szerint a szervezetek számára nem elegendő a kritikus eszközök figyelése, a biztonsági csapatoknak minden külső eszközt figyelniük kell az esetleges rosszindulatú tevékenységekre, beleértve a VoIP- és az IoT-eszközöket is. A fenyegetés szereplői kezdik áthelyezni a célzást a kevésbé ismert vagy megfigyelt eszközökre, hogy elkerüljék az észlelést. A jelenlegi környezetben sok szervezet erősen figyeli a kritikus eszközöket, például a tartományvezérlőket és a webszervereket, de hajlamos a VoIP-eszközöket és az IoT-eszközöket megfelelő felügyelet nélkül hagyni, ami lehetővé teszi, hogy a fenyegetés szereplői észrevétlenül megvegyék a lábukat egy környezetben.