Команда Arctic Wolf Labs недавно исследовала вторжение вымогательского ПО Lorenz, которое использовало уязвимость в устройстве Mitel MiVoice VoIP (CVE-2022-29499) для первоначального доступа и BitLocker Drive Encryption от Microsoft для шифрования данных. Lorenz - это группа вымогателей, которая действует по меньшей мере с февраля 2021 года и, как многие группы вымогателей, осуществляет двойное вымогательство, удаляя данные перед шифрованием систем. В течение последнего квартала эта группа в основном атаковала малые и средние предприятия (SMB), расположенные в США, а также Китай и Мексику.
Lorenz Group
- Группа Lorenz ransomware использовала CVE-2022-29499 для компрометации Mitel MiVoice Connect с целью получения первоначального доступа.
- Lorenz ждал почти месяц после получения первоначального доступа для проведения дополнительных действий
- Lorenz осуществлял утечку данных через FileZilla
- Шифрование осуществлялось с помощью BitLocker и вымогательского ПО Lorenz на ESXi.
- Lorenz использовал высокую степень операционной безопасности (OPSEC).
- Группы Ransomware продолжают использовать бинарные файлы Living Off the Land Binaries (LOLBins) и получать доступ к эксплойтам 0day.
- Ведение журналов процессов и PowerShell может существенно помочь специалистам по реагированию на инциденты и потенциально помочь расшифровать зашифрованные файлы
Indicators of Compromise
IPv4
- 137.184.181.252
- 138.197.218.11
- 138.68.19.94
- 138.68.59.16
- 159.65.248.159
- 206.188.197.125
- 64.190.113.100
SHA256
- 07838ac8fd5a59bb741aae0cf3abf48296677be7ac0864c4f124c2e168c0af94
- 97ff99fd824a02106d20d167e2a2b647244712a558639524e7db1e6a2064a68d