Ataques De Ransomware Emplean VoIP
Investigadores de seguridad del equipo de Arctic Wolf Labs observaron un fuerte solapamiento con las Tácticas, Técnicas y Procedimientos (TTPs) asociados a los ataques de ransomware que tienen como objetivo la explotación del fallo de seguridad CVE-2022-29499 como vector inicial de acceso.
Aunque estos ataques no estaban asociados a un único operador de ransomware, los investigadores han podido identificar un comportamiento malicioso comparable al de la APT Lorenz. En un documento publicado ayer, los investigadores de seguridad revelaron que la actividad maliciosa inicial emanaba de un dispositivo VoIP de Mitel situado en el perímetro de la red.
«Lorenz explotó el CVE-2022-29499, un fallo de ejecución remota de código que afecta al componente Mitel Service Appliance de MiVoice Connect, para conseguir un shell inverso, y luego utilizó Chisel como herramienta de tunelización para pivotar en el entorno».
Según el experto en seguridad Kevin Beaumont, se trata de una adición esencial al arsenal del operador de ransomware, ya que las tecnologías de voz sobre IP (VoIP) de Mitel son utilizadas por empresas de sectores críticos de todo el mundo (incluidas muchas agencias gubernamentales), con más de 19.000 máquinas actualmente vulnerables a los ataques basados en Internet.
Mitel ha parcheado la vulnerabilidad mediante la publicación de actualizaciones de seguridad a principios de junio de 2022, tras la publicación de un script de corrección en abril para las versiones de MiVoice Connect afectadas.
Desde diciembre de 2020, el grupo de ransomware Lorenz ha atacado a diversas empresas a nivel mundial, pidiendo cientos de miles de dólares de rescate a cada víctima.
Este grupo también es conocido por vender los datos robados obtenidos antes del cifrado a otros actores para coaccionar a sus víctimas a pagar el rescate, así como por vender el acceso a las redes internas de sus víctimas junto con los datos robados.
Más información:
Via: unaaldia.hispasec.com