Untersuchung eines Lorenz-Ransomware-Angriffs

Arctic Wolf untersuchte vor Kurzem einen Lorenz-Ransomware-Angriff, der eine Schwachstelle in der Mitel-MiVoice-VoIP-Appliance (CVE-2022-29499) für den ersten Zugriff und Microsofts Bitlocker-Drive-Encryption für die Datenverschlüsselung nutzte. Lorenz ist eine Ransomware-Gruppe, die seit spätestens Februar 2021 aktiv ist und wie viele Ransomware-Gruppen Daten ihres Angriffziels exfiltriert, bevor sie die Systeme verschlüsselt. Im letzten Quartal hatte es die Gruppe vor allem auf kleine und mittlere Unternehmen in den Vereinigten Staaten abgesehen, aber auch Organisationen in China und Mexiko waren betroffen.

Die Arctic Wolf-Untersuchung führte zu folgenden Erkenntnissen:

–          Das Arctic Wolf Labs-Team vermutet, dass die Ransomware-Gruppe Lorenz CVE-2022-29499 ausgenutzt hat, um Mitel-MiVoice-Connect zu kompromittieren und so einen ersten Zugang zu erhalten.

–          Lorenz wartete fast einen Monat, nachdem die Gruppe den initialen Zugang erlangt hatte, um weitere Aktivitäten durchzuführen.

–          Lorenz exfiltrierte Daten über Filezilla.

–          Die Verschlüsselung erfolgte über Bitlocker und Lorenz-Ransomware auf ESXi.

–          Lorenz ging mit einem hohen Maß an operativer Sicherheit (OPSEC) vor.

–          Ransomware-Gruppen verwenden weiterhin Living Off the Land Binaries (LOLBins) und verschaffen sich Zugang zu Zero-Day-Exploits.

–          Process- und Powe-Shell-Logging kann die geeignete Reaktion auf einen Vorfall erheblich unterstützen und möglicherweise zur Entschlüsselung verschlüsselter Dateien beitragen.

 

Nähere Informationen zu Lorenz-Ransomware-Angriffen und weitere Erkenntnisse der Untersuchung von Arctic Wolf Labs finden sich hier.

#ArcticWolf