Lorenz Ransomware Group IOCs

security IOC

Команда Arctic Wolf Labs недавно исследовала вторжение вымогательского ПО Lorenz, которое использовало уязвимость в устройстве Mitel MiVoice VoIP (CVE-2022-29499) для первоначального доступа и BitLocker Drive Encryption от Microsoft для шифрования данных. Lorenz - это группа вымогателей, которая действует по меньшей мере с февраля 2021 года и, как многие группы вымогателей, осуществляет двойное вымогательство, удаляя данные перед шифрованием систем. В течение последнего квартала эта группа в основном атаковала малые и средние предприятия (SMB), расположенные в США, а также Китай и Мексику.

Lorenz Group

  • Группа Lorenz ransomware использовала CVE-2022-29499 для компрометации Mitel MiVoice Connect с целью получения первоначального доступа.
  • Lorenz ждал почти месяц после получения первоначального доступа для проведения дополнительных действий
  • Lorenz осуществлял утечку данных через FileZilla
  • Шифрование осуществлялось с помощью BitLocker и вымогательского ПО Lorenz на ESXi.
  • Lorenz использовал высокую степень операционной безопасности (OPSEC).
  • Группы Ransomware продолжают использовать бинарные файлы Living Off the Land Binaries (LOLBins) и получать доступ к эксплойтам 0day.
  • Ведение журналов процессов и PowerShell может существенно помочь специалистам по реагированию на инциденты и потенциально помочь расшифровать зашифрованные файлы

Indicators of Compromise

IPv4

  • 137.184.181.252
  • 138.197.218.11
  • 138.68.19.94
  • 138.68.59.16
  • 159.65.248.159
  • 206.188.197.125
  • 64.190.113.100

SHA256

  • 07838ac8fd5a59bb741aae0cf3abf48296677be7ac0864c4f124c2e168c0af94
  • 97ff99fd824a02106d20d167e2a2b647244712a558639524e7db1e6a2064a68d
SEC-1275-1
Добавить комментарий