Atak grupy ransomware Lorenz na urządzenia VoIP

VoIP (Voice over Internet Protocol) to technologia realizacji usług telefonicznych z wykorzystaniem łącza internetowego. Na chwilę obecną jest to już standard, zwłaszcza w przedsiębiorstwach, gdzie wykonuje się bardzo duże ilości połączeń. Popularność rozwiązania sprawia, że można zapomnieć o niebezpieczeństwach związanych z korzystaniem z VoIP. 

Luka w urządzeniach Mitel VoIP

Początkiem 2022 roku wykryta została luka w zabezpieczeniach urządzeń Mitel MiVoice Connect– popularnego systemu telekomunikacyjnego wykorzystywanego również w polskich firmach. Podatność CVE-2022-29499 została załatana w kwietniu br., po wykryciu problemu przez firmę CrowdStrike. Luka wyszła na jaw w trakcie dochodzenia w sprawie incydentu ransomware. Jak informuje nowy raport firmy Arctic Wolf, grupy ransomware nadal atakują z wykorzystaniem wspomnianej luki. Firma opublikowała opis incydentu związanego z jej wykorzystaniem, którego celem było uzyskanie dostępu do sieci korporacyjnej ofiary. Badacze zaznaczyli, że najprawdopodobniej za wtargnięciami analizowanymi przez Arctic Wolf i Crowdstrike stoi ta sama osoba.

Przebieg ataku ransomware

Cyberprzestępcy zaatakowali, wykorzystując krytyczną usterkę zdalnego wykonania kodu (RCE) CVE-2022-29499, a następnie tworząc tzw. reverse shell. Po uzyskaniu odwróconej powłoki hakerzy wykorzystali narzędzie Chisel do tunelowania TCP, aby przenieść się do sieci. Po prawie miesiącu oczekiwania grupa przystąpiła do uzyskania poświadcze dla dwóch uprzywilejowanych kont administratorów. Lorenz zyskał poświadczenia dla dwóch kont - jednego z uprawnieniami administratora lokalnego, oraz drugiego z uprawnieniami administratora domeny. Konta te zostały użyte do wszczęcia ruchu bocznego i ostatecznie do eksfiltracji danych przy użyciu FileZilla oraz szyfrowania. Grupa wykorzystała do szyfrowania głównie funkcję Bitlocker, niemniej badacze zaobserwowali również kilka hostów ESXi z oprogramowaniem ransomware Lorenz.

Jak się zabezpieczyć

Kluczowe znaczenie dla ochrony urządzeń peryferyjnych ma bieżące łatanie luk i wykonywanie aktualizacji. Jednak w momencie, gdy cyberprzestępcy wykorzystują nieudokumentowaną lukę, łatanie na czas traci na znaczeniu.  Dlatego tak ważne jest posiadanie wielu warstw ochrony. Zasoby o znaczeniu krytycznym także powinny być w jak największym stopniu odizolowane od urządzeń peryferyjnych.  W szczególności bardzo ważne jest jak największe odizolowanie i ograniczenie dostępu do hostów wirtualizacji lub serwerów zarządzania, takich jak systemy ESXi i vCenter.  Arctic Wolf podkreślili również , że monitorowanie jedynie krytycznych zasobów jest niewystarczające. Uwagę należy poświęcić wszystkim zewnętrznym urządzeniom, w tym VoIP i IoT. Jest to ważne ze względu na to, że cyberprzestępcy coraz częściej celują w mniej monitorowane zasoby, by uniknąć wykrycia. Posiadanie aktualnej i dokładnej inwentaryzacji zasobów jest również niezwykle ważne, ponieważ nie da się chronić czegoś, czego się nie widzi.  Ponadto istotne jest posiadanie kopii zapasowych offline i ograniczanie dostępu do poświadczeń uprzywilejowanych. 

Źródło: