Business Security

Ransomware attackiert VoIP-Telefone der Mitel MiVoice-Connect Serie

Über eine kritische Sicherheitslücke in den betroffenen VoIP-Telefonen wird ein Verschlüsselungs-Trojaner ins System geschleust.

Foto: Pexels / Pixabay

Die Sicherheitsforscher von Arctic Wolf veröffentlichten in einem Bericht, dass für den Angriff die kritische Sicherheitslücke CVE-2022-29499 genutzt wird, um in die IT-Infrastrukturen von Firmen zu gelangen. Über Reverse-Shell wird im Anschluss ein verstecktes Verzeichnis in dem zugrundeliegenden Linux System angelegt und eine TCP-Tunnel-Software direkt von GitHub geladen und installiert.

Mithilfe des Tunnels werden weitere Tools auf das VoIP-Telefon geladen, wodurch unter anderem die Active Directory Certificate Authorities und aktive Powershell Ausführungen im Netzwerk identifiziert und kompromitiert werden.

Erst nach gut einem Monat wird der Verschlüsselungs-Trojaner Lorenz ausgeführt, während dieser Wartezeit werden bereits aktiv Dateien über FileZilla an die Angreifer geschickt. Lorenz übernimmt im Anschluss die Verschlüsselung von Dateien auf den verschiedenen Systemen mittels BitLocker.

Die Gruppierung hinter den Angriffen fordert im Anschluss Lösegeld ein, damit die Dateien wieder entschlüsselt werden. Um den Druck auf die Opfer zu erhöhen, wird zudem damit gedroht, die übertragenen, firmeninternen und sensiblen Daten im Internet zu veröffentlichen.

Mitel gibt in seiner Warnmeldung an, dass lediglich MiVoice Connect (Mitel Service Appliances, SA100, SA400 sowie die Virtual SA) betroffen sei und verweist direkt auf die benötigten Sicherheitspatches.

 

Quelle:

https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/

https://www.mitel.com/en-ca/support/security-advisories/mitel-product-security-advisory-22-0002

Zurück

Diesen Beitrag teilen
oben