Die Betreiber der Lornenz-Ransomware haben eine kritische Sicherheitslücke in Mitel MiVoice Connect ausgenutzt, die inzwischen gepatcht wurde, um in die Zielumgebungen einzudringen und dort weitere bösartige Aktivitäten durchzuführen.
„Die ersten bösartigen Aktivitäten gingen von einer Mitel-Appliance am Netzwerkrand aus“, so die Forscher des Cybersecurity-Unternehmens Arctic Wolf in einem diese Woche veröffentlichten Bericht.
„Lorenz nutzte die Sicherheitslücke CVE-2022-29499 aus, eine Schwachstelle in der Mitel Service Appliance von MiVoice Connect, um eine Reverse Shell zu erlangen, und verwendete anschließend Chisel als Tunneling-Tool, um in die Umgebung einzudringen.
Lorenz ist wie viele andere Ransomware-Gruppen für doppelte Erpressung bekannt, indem er Daten exfiltriert, bevor er Systeme verschlüsselt. Der Akteur hat es seit mindestens Februar 2021 auf kleine und mittlere Unternehmen (KMU) in den USA und in geringerem Umfang auch in China und Mexiko abgesehen.
Cybereason bezeichnete Lorenz als „sich ständig weiterentwickelnde Ransomware“ und stellte fest, dass es sich „vermutlich um eine Neuauflage der im Oktober 2020 entdeckten Ransomware „.sZ40″ handelt“.
Die Nutzung von Mitel VoIP-Geräten für Ransomware-Angriffe spiegelt die jüngsten Erkenntnisse von CrowdStrike wider, die Details eines Ransomware-Einbruchsversuchs enthüllten, bei dem dieselbe Taktik genutzt wurde, um Remote-Code-Ausführung gegen ein ungenanntes Ziel zu erreichen.
Mitel VoIP-Produkte sind auch deshalb ein lukratives Einfallstor, weil fast 20.000 internetfähige Geräte online sind, wie der Sicherheitsforscher Kevin Beaumont herausgefunden hat, und damit anfällig für bösartige Angriffe.
Bei einem von Arctic Wolf untersuchten Angriff mit Lorenz Ransomware nutzten die Angreifer die Schwachstelle der Remotecodeausführung, um eine Reverse Shell einzurichten und das Proxyprogramm Chisel herunterzuladen.
Das bedeutet, dass der erste Zugriff entweder mit Hilfe eines Initial Access Brokers (IAB) erfolgt ist, der im Besitz eines Exploits für CVE-2022-29499 ist, oder dass die Bedrohungsakteure die Möglichkeit haben, dies selbst zu tun.
Bemerkenswert ist auch, dass die Lorenz-Gruppe nach dem ersten Zugriff fast einen Monat lang gewartet hat, um nach der Ausnutzung weitere Aktionen durchzuführen, wie z. B. das Herstellen der Persistenz mittels einer Web-Shell, das Sammeln von Zugangsdaten, die Netzwerkerkundung, die Ausweitung von Privilegien und laterale Bewegungen.
Die Kompromittierung gipfelte schließlich in der Datenexfiltration mit FileZilla, woraufhin die Hosts mit Microsofts BitLocker-Dienst verschlüsselt wurden, was den anhaltenden Missbrauch von LOLBINs (Living-off-the-land Binarys) durch Angreifer unterstreicht.
„Sicherheitsteams sollten alle nach außen gerichteten Geräte auf potenzielle bösartige Aktivitäten überwachen, einschließlich VoIP- und IoT-Geräte“, so die Forscher.
„Bedrohungsakteure verlagern ihr Ziel auf weniger bekannte oder überwachte Geräte, um einer Entdeckung zu entgehen.