Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ataques de ransomware utilizan como vector de ataque inicial centralitas VoIP


Investigadores de seguridad del equipo de  Arctic Wolf Labs observaron un fuerte solapamiento con las Tácticas, Técnicas y Procedimientos (TTPs) asociados a los ataques de ransomware que tienen como objetivo la explotación del fallo de seguridad CVE-2022-29499 como vector inicial de acceso.




Aunque estos ataques no estaban asociados a un único operador de ransomware, los investigadores han podido identificar un comportamiento malicioso comparable al de la APT Lorenz. En un documento publicado ayer, los investigadores de seguridad revelaron que la actividad maliciosa inicial emanaba de un dispositivo VoIP de Mitel situado en el perímetro de la red.

«Lorenz explotó el CVE-2022-29499, un fallo de ejecución remota de código que afecta al componente Mitel Service Appliance de MiVoice Connect, para conseguir un shell inverso, y luego utilizó Chisel como herramienta de tunelización para pivotar en el entorno».

Según el experto en seguridad Kevin Beaumont, se trata de una adición esencial al arsenal del operador de ransomware, ya que las tecnologías de voz sobre IP (VoIP) de Mitel son utilizadas por empresas de sectores críticos de todo el mundo (incluidas muchas agencias gubernamentales), con más de 19.000 máquinas actualmente vulnerables a los ataques basados en Internet.

Mapa

Mitel ha parcheado la vulnerabilidad mediante la publicación de actualizaciones de seguridad a principios de junio de 2022, tras la publicación de un script de corrección en abril para las versiones de MiVoice Connect afectadas.





Desde diciembre de 2020, el grupo de ransomware Lorenz ha atacado a diversas empresas a nivel mundial, pidiendo cientos de miles de dólares de rescate a cada víctima.

Este grupo también es conocido por vender los datos robados obtenidos antes del cifrado a otros actores para coaccionar a sus víctimas a pagar el rescate, así como por vender el acceso a las redes internas de sus víctimas junto con los datos robados.

Fuentes:



https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/

https://unaaldia.hispasec.com/2022/09/ataques-de-ransomware-emplean-voip.html

https://www.secureblink.com/cyber-security-news/enterprises-targeted-by-lorenz-ransomware-via-vulnerable-phone-system

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.