Actus

Le ransomware Lorenz s’introduit dans les réseaux d’entreprise via les systèmes téléphoniques

Par hfrance , le 13 septembre 2022 , mis à jour le 13 septembre 2022 - 3 minutes de lecture
ransomware lorenz
5/5 - (1 vote)

Le gang du ransomware Lorenz utilise désormais une vulnérabilité critique dans les appareils VOIP Mitel MiVoice pour pénétrer dans les entreprises, en utilisant leurs systèmes téléphoniques pour l’accès initial à leurs réseaux d’entreprise.

Les chercheurs en sécurité d’Arctic Wolf Labs ont repéré cette nouvelle tactique après avoir observé un chevauchement important avec les tactiques, techniques et procédures (TTP) liées aux attaques de ransomware exploitant le bogue CVE-2022-29499 pour l’accès initial, comme l’a signalé Crowdstrike en juin.

Bien que ces incidents n’aient pas été liés à un gang de ransomware spécifique, Arctic Wolf Labs a été en mesure d’attribuer une activité malveillante similaire au gang Lorenz avec une grande confiance.

L’activité malveillante initiale provenait d’un appareil Mitel situé dans le périmètre du réseau, d’après le rapport publié aujourd’hui.

Lorenz a exploité la vulnérabilité CVE-2022-29499, une vulnérabilité d’exécution de code à distance impactant le composant Mitel Service Appliance de MiVoice Connect, pour obtenir un reverse shell et a ensuite utilisé Chisel comme outil de tunnellisation pour pivoter dans l’environnement.

Il s’agit d’un ajout important à l’arsenal du gang, étant donné que les produits de voix sur IP (VoIP) de Mitel sont utilisés par des organisations de secteurs critiques dans le monde entier (y compris des agences gouvernementales), avec plus de 19 000 appareils actuellement exposés à des attaques sur Internet, selon l’expert en sécurité Kevin Beaumont.

Mitel a remédié à cette vulnérabilité en publiant des correctifs de sécurité au début du mois de juin 2022, après avoir publié en avril un script de remédiation pour les versions de MiVoice Connect concernées.

Les acteurs de la menace ont récemment exploité d’autres failles de sécurité ayant un impact sur les appareils Mitel dans des attaques d’amplification DDoS record.

Qui est Lorenz ?

Le groupe de ransomware Lorenz cible les entreprises du monde entier depuis au moins décembre 2020, exigeant des centaines de milliers de dollars de rançon de chaque victime.

Michael Gillespie, de ID Ransomware, a déclaré à que le crypteur de Lorenz est le même que celui utilisé par une précédente opération de ransomware connue sous le nom de ThunderCrypt.

Cette bande est également connue pour vendre les données volées avant le cryptage à d’autres acteurs de la menace afin de faire pression sur leurs victimes pour qu’elles paient la rançon et pour vendre l’accès aux réseaux internes de ses victimes à d’autres cybercriminels avec les données volées.

Si les rançons ne sont pas payées après avoir divulgué les données volées sous forme d’archives RAR protégées par un mot de passe, Lorenz publie également le mot de passe permettant d’accéder aux archives divulguées afin de donner un accès public aux fichiers volés.

En juin 2021, la société néerlandaise de cybersécurité Tesorion a publié un décrypteur gratuit du ransomware Lorenz qui peut être utilisé pour récupérer certains types de fichiers, notamment des documents Office, des fichiers PDF, des images et des vidéos.

La liste des victimes précédentes comprend Hensoldt, un entrepreneur multinational de la défense dont le siège est en Allemagne, et Postes Canada, le principal opérateur postal au Canada.

  • Sonstige RELACART HR-31S Système à diversité réelle à 1 canal - Systèmes d’émetteurs portatifs
    Le HR-31S est un système de diversité réelle haut de gamme dans le spectre UHF qui peut exploiter pleinement ses atouts, notamment en liaison avec le logiciel RWW. La transmission a lieu soit dans la bande professionnelle commutable 731-790 MHz, soit dans la plage sans licence 823-832 MHz. Les autres caractéristiques sont également convaincantes: une configuration rapide par infrarouge et une durée de vie exceptionnellement longue de l'émetteur, jusqu'à 15 heures avec un seul jeu de piles.Système de microphone sans fil avec contrôle par PC, 731-790 + 863-865 MHz Récepteur sans fil multifréquence avec réception en diversité réelle de haute qualité, Microphone dynamique à main avec boîtier ergonomique en alliage d'aluminium et écran OLED, applicable pour les tournées., Surveillance en temps réel et gestion des données à l'aide du logiciel PC RWW, 731-790 MHz (nécessite une licence en Allemagne) est verrouillable et offre 244 fréquences fixes (10 banques de fréquences avec jusqu'à 25 fréquences chacune), 823-832 MHz (sans licence en Allemagne) offre 48 fréquences fixes (8 banques de fréquences avec jusqu'à 7 fréquences chacune), 292 fréquences réglables manuellement par pas de 25 kHz dans une bande passante de 68 MHz., Le fonctionnement en parallèle de jusqu'à 16 systèmes est possible sans aucune interférence., Technologie de tonalité pilote (PLL) et squelch de bruit pour un fonctionnement sans interférence, Portée de fonctionnement avec ligne de visée: environ 80 mètres, Longue durée de vie de la batterie, jusqu'à 15 heures de fonctionnement continu, Le balayage automatique des fréquences (AFS) permet de trouver des canaux sans interférences., Synchronisation facile et sans erreur entre le récepteur et l'émetteur via un signal infrarouge, LCD pour l'état de la batterie du microphone, l'antenne A/B, le niveau de réception RF, le niveau audio et la fréquence AF, Interface série RS-485 pour la connexion d'un ordinateur avec le convertisseur USB/RS-485 en option U485, Plusieurs unités peuvent être mises en cascade à l'aide de câbles réseau., La fonction de verrouillage évite toute modification accidentelle des paramètres, Sortie XLR et jack 6,3 mm, 2 antennes BNC détachables permettant l'utilisation du diviseur d'antenne R-14D, La livraison comprend un sac de transport pratique avec un câble jack et une unité d'alimentation., Boîtier métallique durable, Installation en rack de 483 mm possible avec les supports de montage fournis, Microphone directement compatible avec la capsule SM58 de Shure, Récepteur et microphone également disponibles séparément, Sans permis et approuvé dans une grande partie de l'UE (veuillez vérifier pays par pays), RELACART HR-31S Récepteur à diversité réelle 1 canal Récepteur sans fil en diversité réelle avec contrôle par PC Récepteur sans fil multifréquence avec réception en diversité réelle de haute qualité, Surveillance en temps réel et gestion des données à l'aide du logiciel PC RWW, 731-790 MHz (nécessite une licence en...
  • Ajax System Répéteur de Signal radio AJAX pour les dispositifs antivol dans le sans-fil AJ-REX-W
    Répéteur de Signal radio AJAX REX, de couleur blanche, amplifie le débit de tous les dispositifs de sécurité du système d'Ajax et s'occupe de la communication avec le hub. Le répéteur de signal intelligent radio permet aux utilisateurs de placer les appareils Ajax à une distance considérable de la plaque tournante, pour la protection de bureaux sur plusieurs étages, des bâtiments distincts et même des usines de fabrication. En connectant un 5-ReX système de sécurité s'étend la couverture jusqu'à 35 km2.
  • O Morto Wines O Morto Vía Revolucionaria Mencía Pura
    O Morto Vía Revolucionaria Mencía Pura est un vin rouge naturel, écologique et végétalien élaboré par O Morto Wines avec la variété Mencia dans la D.O. Ribeiro (Galice).   Derrière le nom de O Morto Wines, se cachent les vins de Matías Michelini. Cet Argentin issu d’une famille à la grande tradition viticole s'établit dans la ville galicienne de Ribadavia, à la recherche de la pureté maximale des raisins locaux. Issu de l'agriculture biologique et d'une vinification peu interventionniste, il élabore des vins atlantiques naturels pleins de personnalité.    O Morto Vía Revolucionaria Mencía Pura est issu de jeunes vignobles dont les sols sont principalement composés d'ardoise et de granit décomposé. Une agriculture biologique est pratiquée excluant herbicides, pesticides ou tout autre produit chimique. En contrepartie, il applique des traitements biologiques, limite le rendement pour obtenir un raisin plus concentré et récolte manuellement au moment optimal de la maturation.    Lorsque les raisins entrent dans la cave, les raisins du O Morto Vía Revolucionaria Mencía Pura sont partiellement égrappés et fermentent spontanément avec des levures indigènes dans des cuves en acier inoxydable. Une fois que le vin est terminé, il est mis en bouteille en subissant une légère clarification à froid et en ajoutant une quantité minime de soufre.   Comme son nom l’indique, O Morto Vía Revolucionaria Mencía Pura est une pure Mencía. Un vin juteux, frais et fruité au caractère minéral. 

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.