Actus

Le ransomware Lorenz s’introduit dans les réseaux d’entreprise via les systèmes téléphoniques

Par Philippe Ternision , le 13 septembre 2022 , mis à jour le 13 septembre 2022 - 3 minutes de lecture
ransomware lorenz
5/5 - (1 vote)

Le gang du ransomware Lorenz utilise désormais une vulnérabilité critique dans les appareils VOIP Mitel MiVoice pour pénétrer dans les entreprises, en utilisant leurs systèmes téléphoniques pour l’accès initial à leurs réseaux d’entreprise.

Les chercheurs en sécurité d’Arctic Wolf Labs ont repéré cette nouvelle tactique après avoir observé un chevauchement important avec les tactiques, techniques et procédures (TTP) liées aux attaques de ransomware exploitant le bogue CVE-2022-29499 pour l’accès initial, comme l’a signalé Crowdstrike en juin.

Bien que ces incidents n’aient pas été liés à un gang de ransomware spécifique, Arctic Wolf Labs a été en mesure d’attribuer une activité malveillante similaire au gang Lorenz avec une grande confiance.

L’activité malveillante initiale provenait d’un appareil Mitel situé dans le périmètre du réseau, d’après le rapport publié aujourd’hui.

Lorenz a exploité la vulnérabilité CVE-2022-29499, une vulnérabilité d’exécution de code à distance impactant le composant Mitel Service Appliance de MiVoice Connect, pour obtenir un reverse shell et a ensuite utilisé Chisel comme outil de tunnellisation pour pivoter dans l’environnement.

Il s’agit d’un ajout important à l’arsenal du gang, étant donné que les produits de voix sur IP (VoIP) de Mitel sont utilisés par des organisations de secteurs critiques dans le monde entier (y compris des agences gouvernementales), avec plus de 19 000 appareils actuellement exposés à des attaques sur Internet, selon l’expert en sécurité Kevin Beaumont.

Mitel a remédié à cette vulnérabilité en publiant des correctifs de sécurité au début du mois de juin 2022, après avoir publié en avril un script de remédiation pour les versions de MiVoice Connect concernées.

Les acteurs de la menace ont récemment exploité d’autres failles de sécurité ayant un impact sur les appareils Mitel dans des attaques d’amplification DDoS record.

Qui est Lorenz ?

Le groupe de ransomware Lorenz cible les entreprises du monde entier depuis au moins décembre 2020, exigeant des centaines de milliers de dollars de rançon de chaque victime.

Michael Gillespie, de ID Ransomware, a déclaré à que le crypteur de Lorenz est le même que celui utilisé par une précédente opération de ransomware connue sous le nom de ThunderCrypt.

Cette bande est également connue pour vendre les données volées avant le cryptage à d’autres acteurs de la menace afin de faire pression sur leurs victimes pour qu’elles paient la rançon et pour vendre l’accès aux réseaux internes de ses victimes à d’autres cybercriminels avec les données volées.

Si les rançons ne sont pas payées après avoir divulgué les données volées sous forme d’archives RAR protégées par un mot de passe, Lorenz publie également le mot de passe permettant d’accéder aux archives divulguées afin de donner un accès public aux fichiers volés.

En juin 2021, la société néerlandaise de cybersécurité Tesorion a publié un décrypteur gratuit du ransomware Lorenz qui peut être utilisé pour récupérer certains types de fichiers, notamment des documents Office, des fichiers PDF, des images et des vidéos.

La liste des victimes précédentes comprend Hensoldt, un entrepreneur multinational de la défense dont le siège est en Allemagne, et Postes Canada, le principal opérateur postal au Canada.

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.