Lorenz Ransomware nutzt VoIP-Telefone MiVoice Connect von Mitel als Sprungbrett

Eine Schwachstelle in VoIP-Telefonen der MiVoice-Connect-Serie von Mitel dient zurzeit als Schlupfloch für den Erpressungstrojaner Lorenz. Kommen solche Telefone in Unternehmen zum Einsatz, sollten Admins die Geräte zügig auf den aktuellen Stand bringen und so die Lücke schließen.

Auf die Attacken sind Sicherheitsforscher von Artic Wolf gestoßen. In ihrem Bericht stellen sie fest, dass die Angreifer an einer "kritischen" Lücke (CVE-2022-29499) ansetzen, um einen ersten Fuß in IT-Infrastrukturen von Firmen zu setzen. Im Anschluss sollen sie rund einen Monat warten, um dann die Ransomware Lorenz von der Leine zu lassen.

Erpressung

Der Schädling soll Dateien über die eigentlich legitime Anwendung FileZilla zu den Angreifern schleusen. Die Verschlüsselung von Daten auf Windows-Systemen soll via Bitlocker geschehen. Eine ESXi-Verschlüsselung soll Lorenz selbst vornehmen.

Die Gruppe hinter dem Schädling soll im Anschluss Lösegeld einfordern. Dem aktuellen Ransomware-Trend folgend, drohen sie mit einer Veröffentlichung der kopierten internen Daten, um den Druck auf Opfer zu erhöhen.

Jetzt patchen!

In einer Warnmeldung gibt der Hersteller an, dass von der Schadcode-Lücke konkret MiVoice Connect (Mitel Service Appliances – SA 100, SA 400 und Virtual SA) betroffen sind. Bedroht sind die Versionen bis einschließlich 14.2 und 19.2 SP3. Der Hersteller gibt an, das Sicherheitsproblem in der Ausgabe 19.3 gelöst zu haben. Wer das Sicherheitsupdate nicht installieren kann, kann als temporären Workaround ein vom Hersteller bereitgestelltes Skript nutzen, um System vor Attacken abzusichern.

Außerdem sollten Admins darauf achten, ob die Systeme zwingend öffentlich aus dem Internet erreichbar sein müssen. Schließlich vergrößert sich so die Angriffsfläche und Angreifer könnten Telefone direkt attackieren. Ein Sicherheitsforscher hat über die Suchmaschine Shodan 19.000 solcher direkt erreichbarer Systeme gefunden.

(des)