La banda de ransomware ”Lorenz” instala puertas traseras para usarlas meses después en ataques

El grupo de ransomware explotó una vulnerabilidad antes que fuese corregida.

Los investigadores de seguridad advierten que parchear las vulnerabilidades críticas que permiten el acceso a la red es insuficiente para defenderse de los ataques de ransomware.

Algunas pandillas están explotando las fallas para plantar una puerta trasera mientras existe la oportunidad y pueden regresar mucho después de que la víctima haya aplicado las actualizaciones de seguridad necesarias.

Un caso es un ataque de ransomware Lorenz que se completó meses después de que los piratas informáticos obtuvieran acceso a la red de la víctima utilizando un exploit para un error crítico en un sistema de telefonía.

Puerta trasera plantada antes de la actualización de seguridad

Durante un compromiso de respuesta a un incidente de un ataque de ransomware Lorenz, los investigadores de la empresa de consultoría de seguridad cibernética e inteligencia global S-RM determinaron que los piratas informáticos habían violado la red de la víctima cinco meses antes de comenzar a moverse lateralmente, robar datos y cifrar sistemas.

S-RM determinó que los piratas informáticos obtuvieron acceso inicial al explotar CVE-2022-29499, una vulnerabilidad crítica en la infraestructura de telefonía de Mitel, que permite la ejecución remota de código.

El problema de seguridad se descubrió el año pasado en una investigación de CrowdStrike Services sobre “un supuesto intento de intrusión de ransomware”. En ese momento, el proveedor no sabía acerca de la vulnerabilidad y aún no se había solucionado.

Los investigadores de S-RM descubrieron que si bien su cliente había aplicado el parche para CVE-2022-29499 en julio, los piratas informáticos del ransomware Lorenz se movieron más rápido y explotaron la vulnerabilidad, y plantaron una puerta trasera una semana antes de la actualización que solucionó el problema.

Aunque no había quedado ninguna página vulnerable en el sistema, el análisis forense reveló que se accedió a ellas por última vez cuando se creó el shell web del actor de amenazas en la máquina de la víctima.

Los piratas intentaron ocultar la puerta trasera llamándola “twitter_icon_” y la colocaron en un directorio de ubicación legítimo en el sistema.

El shell web es una sola línea de código PHP que escucha las solicitudes HTTP POST con dos parámetros: “id”, que, junto con la cadena aleatoria, actúa como credenciales para el acceso al sistema, e “img”, que incluye los comandos que se ejecutarán. .

Durante cinco meses, el caparazón web permaneció inactivo en la red de la víctima. Cuando los piratas informáticos estuvieron listos para continuar con el ataque, usaron la puerta trasera e implementaron el ransomware Lorenz en 48 horas.