Mithilfe des Tunnels werden weitere Tools auf das VoIP-Telefon geladen, wodurch unter anderem die Active Directory Certificate Authorities und aktive Powershell Ausführungen im Netzwerk identifiziert und kompromitiert werden.
Erst nach gut einem Monat wird der Verschlüsselungs-Trojaner Lorenz ausgeführt, während dieser Wartezeit werden bereits aktiv Dateien über FileZilla an die Angreifer geschickt. Lorenz übernimmt im Anschluss die Verschlüsselung von Dateien auf den verschiedenen Systemen mittels BitLocker.
Die Gruppierung hinter den Angriffen fordert im Anschluss Lösegeld ein, damit die Dateien wieder entschlüsselt werden. Um den Druck auf die Opfer zu erhöhen, wird zudem damit gedroht, die übertragenen, firmeninternen und sensiblen Daten im Internet zu veröffentlichen.
Mitel gibt in seiner Warnmeldung an, dass lediglich MiVoice Connect (Mitel Service Appliances, SA100, SA400 sowie die Virtual SA) betroffen sei und verweist direkt auf die benötigten Sicherheitspatches.
Quelle:
https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/
https://www.mitel.com/en-ca/support/security-advisories/mitel-product-security-advisory-22-0002