[English]Telefonanlagen des kanadischen Herstellers Mitel, die in Unternehmen zum Einsatz kommen, werden durch Ransomware der Lorenz-Gruppe angegriffen. Die Arctic Wolf Labs vermuten, dass die Lorenz Ransomware-Gruppe die Schwachstelle CVE-2022-29499 ausgenutzt hat, um Mitel MiVoice Connect-Systeme zu kompromittieren und so einen ersten Zugang zu erhalten. Danach lässt sich die Anlage übernehmen, um diese zu verschlüsseln und Opfer zu erpressen. Administratoren sollten die Software der Telefonanlage auf den neuesten Stand bringen.
Anzeige
Mitel Networks Corporation ist ein kanadisches Telekommunikationsunternehmen. Das Unternehmen konzentrierte sich nach einem Eigentümerwechsel im Jahr 2001 fast ausschließlich auf Voice-over-IP-Produkte. Die Mitel MiVoice Connect-Systeme werden vor allem in Firmen als Telefonzentrale eingesetzt.
Die Lorenz Ransomware-Gruppe
Das Sicherheitsunternehmen Artic Wolf schreibt in diesem Artikel, dass die Lorenz Ransomware-Gruppe auf Mitel MiVoice Connect-Systeme abzielt. Lorenz ist eine Ransomware-Gruppe, die mindestens seit Februar 2021 aktiv ist. Die Cyber-Kriminellen erpressen die Opfer einmal durch verschlüsseln der Systeme, drohen aber auch mit der Veröffentlichung erbeuteter Firmendokumente. Ende Juni veröffentlichten Forscher von CrowdStrike einen Blog-Beitrag, in dem sie einen mutmaßlichen Ransomware-Angriff beschrieben, bei dem die Schwachstelle CVE-2022-29499 für den Erstzugang genutzt wurde. Im letzten Quartal hatte es die Gruppe vor allem auf kleine und mittlere Unternehmen (KMU) in den Vereinigten Staaten abgesehen, einzelne Infektionen gab es auch in China und Mexiko.
Angriffe auf Mitel MiVoice Connect-Systeme
Die Sicherheitsforscher vermuten, dass die Schwachstelle CVE-2022-29499 ausgenutzt wird, um einen Zugriff auf die Software der Telefonanlage zu erhalten. Im Sicherheitshinweis 22-0002 schreibt Mitel, dass eine Sicherheitslücke in der Mitel Service Appliance-Komponente von MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 und Virtual SA) entdeckt wurde. Die Sicherheitslücke ermöglicht einem böswilligen Akteur eine Remotecodeausführung (CVE-2022-29499) im Kontext der Service Appliance durchzuführen. Betroffen ist MiVoice Connect (bis zur Versions 14.2) – Mitel empfiehlt Kunden mit betroffenen Produktversionen, die verfügbaren Abhilfemaßnahmen anzuwenden.
Nachdem die Ransomware Zugriff über die Schwachstelle auf die Software erhalten hat, wartet die Schadsoftware fast einen Monat, um weitere Aktivitäten durchzuführen. Dann verwendet die Ransomware FileZilla, um erbeutet Daten abzuziehen und auf die Server der Ransomware-Gang zu übertragen. Im Anschluss erfolgt die Verschlüsselung der Dateien auf den Systemen meist mittels BitLocker unter Windows. Aber die Sicherheitsforscher haben einige wenige ESXi-Hosts beobachtet, die von der Lorenz-Ransomware zur Verschlüsselung eingesetzt wurden.
Dann versuchen die Cyber-Kriminellen die Unternehmen zu erpressen, wobei sowohl die verschlüsselten Dateien als auch die erbeuteten Firmendokumente als Druckmittel dienen. Im Juli 2022 veröffentlichte Mitel MiVoice Connect Version R19.3, die CVE-2022-29499 vollständig behebt. Die Sicherheitsforscher von Artic Wolf empfehlen ein Upgrade auf Version R19.3, um eine mögliche Ausnutzung dieser Sicherheitslücke zu verhindern. Am 19. April 2022 stellte Mitel ein Skript für die Versionen 19.2 SP3 und früher sowie R14.x und früher als Workaround vor der Veröffentlichung von R19.3 zur Verfügung. Details sind diesem Artikel zu entnehmen. (via)
2015
