Ресерчеры Arctic Wolf Labs выяснили, что вымогатели Lorenz приступили к активной эксплуатации критической уязвимости CVE-2022-29499 в устройствах Mitel MiVoice VOIP для получения первоначального доступа к корпоративным сетям предприятий. Новая тактика была замечена после совпадения TTP исследованных атак Lorenz, с результатами июньского отчета Crowdstrike в отношении потенциальных угроз Mitel MiVoice VOIP, о которых мы также ранее сообщали. Согласно отчету Arctic Wolf Labs, первоначальная вредоносная активность исходила от устройства, расположенного на сетевом периметре и была связана с использованием RCE-баги в компоненте Mitel Service Appliance MiVoice Connect. После внедрения обратной оболочки, злоумышленник использовал Chisel в качестве инструмента туннелирования для перехода в среду. Lorenz нацелена на корпоративные организации по всему миру с декабря 2020 года, требуя выкуп в сотни тысяч долларов от каждой жертвы и применяя тот шифратор, что и предыдущей операции ThunderCrypt. Группа также известна тем, что продает данные, украденные до шифрования своим коллегам вместе с доступом к внутренним сетям своих жертв. В случае отказа жертвы от выкупа организуется утечка краденных данных в виде защищенных паролем архивов RAR и публикацией к ним пароля. Послужной список впечатляет и включает, к примеру немецкого военного подрядчика Hensoldt и главного канадского оператора Canada Post. Впрочем, удивляться не стоит. Даже несмотря на то, что Mitel устранил уязвимость, выпустив исправления в начале июня 2022 года для всех уязвимых версий MiVoice Connect, до настоящего времени более 19 000 устройств остаются уязвимыми. Кроме того, как известно, злоумышленники продолжают использовать и более старые ошибки (CVE-2022-26143) Mitel для проведения DDoS-атак с усилением.