กลุ่ม Lorenz ransomware ใช้ช่องโหว่ระดับ Critical ในอุปกรณ์ Mitel MiVoice VOIP เพื่อเข้าถึงเครือข่ายขององค์กร โดยเป็นการใช้ระบบโทรศัพท์เพื่อเจาะเข้าถึงระบบเครือข่ายขององค์กร
นักวิจัยด้านความปลอดภัยจาก Arctic Wolf Labs พบวิธีการนี้หลังจากการวิเคราะห์ Tactics, Techniques, and Procedures (TTPs) ที่เชื่อมโยงกับการโจมตีจาก ransomware ด้วยช่องโหว่ CVE-2022-29499 เพื่อใช้ในการเข้าถึงเครือข่ายขององค์กร จากรายงานของ Crowdstrike เมื่อเดือนมิถุนายน
แม้ว่าเหตุการณ์นี้จะไม่ตรงกับรูปแบบการโจมตีจาก ransomware กลุ่มใดกลุ่มหนึ่ง แต่ Arctic Wolf Labs มั่นใจว่าพฤติกรรมดังกล่าวเชื่อมโยงได้กับกลุ่ม Lorenz ransomware
นักวิจัยด้านความปลอดภัยระบุในรายงานว่า “พฤติกรรมการโจมตีเริ่มต้นจากอุปกรณ์ Mitel ที่อยู่บนระบบเครือข่าย” โดยกลุ่ม Lorenz ใช้ประโยชน์จากช่องโหว่ CVE-2022-29499 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบกับอุปกรณ์ Mitel Service Appliance ในส่วนของ MiVoice Connect ซึ่งจะทำให้ผู้โจมตีสามารถ reverse Shell และใช้ Chisel เป็น tunneling tool เพื่อเข้าสู่เครือข่าย
Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า เนื่องจาก Mitel Voice-over-IP (VoIP) ถูกใช้โดยองค์กรต่าง ๆ ทั่วโลก รวมไปถึงหน่วยงานของรัฐ จึงทำให้ปัจจุบันมีอุปกรณ์กว่า 19,000 เครื่องที่มีความเสี่ยงต่อการถูกโจมตี
Mitel ได้ออกแพตซ์แก้ไขช่องโหว่นี้แล้วในช่วงต้นเดือนมิถุนายน 2565 หลังจากปล่อยสคริปต์การแก้ไขปัญหาเบื้องต้นสำหรับ MiVoice Connect เวอร์ชันที่ได้รับผลกระทบในเดือนเมษายน
โดยก่อนหน้านี้มีกลุ่มผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ในด้านความปลอดภัยอื่น ๆ ที่ส่งผลกระทบต่ออุปกรณ์ Mitel ในการโจมตีด้วย DDoS ที่ทำลายสถิติการโจมตีด้วย DDoS amplification ที่เคยเกิดขึ้นในอดีต
กลุ่ม Lorenz คือใคร?
Lorenz ransomware ตั้งเป้าหมายไปที่องค์กรต่าง ๆ ทั่วโลก โดยล่าสุดเมื่อเดือนธันวาคม 2563 ที่ผ่านมา มีการเรียกร้องค่าไถ่จากเหยื่อแต่ละรายหลายแสนดอลลาร์
Michael Gillespie ระบุว่าลักษณะของ Lorenz นั้นเหมือนกับการเรียกค่าไถ่ที่เกิดขึ้นก่อนหน้านี้ที่รู้จักกันในชื่อ ThunderCrypt
กลุ่มนี้ยังเป็นที่รู้จักในการขายข้อมูลที่ถูกขโมยออกมาไปให้ผู้โจมตีรายอื่น เพื่อกดดันให้เหยื่อของพวกเขาจ่ายค่าไถ่ รวมถึงมีการขายข้อมูลที่ใช้สำหรับการเข้าถึงเครือข่ายภายในของเหยื่อให้กับผู้โจมตีรายอื่นอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.