Lorenz Ransomware

En ny ransomware-trussel ved navn Lorenz Ransomware indsættes i en aktiv angrebskampagne. På trods af den korte tid, siden den truende operation blev lanceret, har cyberkriminelle bag Lorenz formået at samle et offerantal på tolv forskellige organisationer. Hackerne bryder deres ofres interne netværk og begynder at bevæge sig sideværts på jagt efter legitimationsoplysninger til Windows-domæneadministratorer, mens de høster følsomme ukrypterede filer og exfiltrerer dem til en fjernserver. Derefter begynder Lorenz Ransomware at kryptere de filer, der er gemt på de kompromitterede systemer.

Alle opnåede data offentliggøres på et dedikeret lækwebsted, der viser oplysninger fra 10 af de 12 anførte ofre i øjeblikket. Cyberkriminelle bruger de indsamlede data til gradvis at udøve, hvilket øger presset på de brudte organisationer. Hvis ofrene ikke betaler det anmodede beløb - mellem $ 500.000 og $ 700.000 afhængigt af det specifikke offer, bliver deres data først overført til andre trusselsaktører eller konkurrenter. Derefter, hvis ingen er interesseret, pakker hackerne de indsamlede data i adgangskodebeskyttede RAR-filer og begynder at frigive dem i bølger. Hvis de stadig ikke kan finde købere eller få offeret til at betale løsesummen, vil Lorenz-hackerne lækker adgangskoden effektivt og gør alle filerne tilgængelige offentligt. Det skal bemærkes, at i modsætning til andre ransomware-operationer tilbyder Lorenz-gruppen at sælge adgang til det kompromitterede netværk sammen med de indsamlede data.

Lorenz Ransomware detaljer

Analyser foretaget af Michael Gillespie har afsløret, at Lorenz Ransomware-krypteren ligner en tidligere opdaget malware-trussel ved navn ThunderCrypt . Om dette betyder, at trusselsaktøren bag begge operationer er den samme, eller at Lorenz-gruppen købte ThunderCrypt-kildekoden og oprettede deres egen variant, kan ikke bestemmes i øjeblikket.

Hver Lorenz Ransomware-nyttelast justeres for at matche det specifikke offer, der er målrettet mod angrebet. Som sådan kan hver version variere i visse detaljer, mens den samme adfærd bevares som helhed. For at låse ofrets filer bruger Lorenz Ransomware først AES-kryptering og krypterer derefter nøglen med en indlejret RSA-nøgle. Hver berørt fil har '.Lorenz.sz40' vedhæftet sit oprindelige navn som en ny udvidelse.

Løsepenge noten leveres derefter i form af filer ved navn 'HELP_SECURITY_EVENT.html', der vil blive droppet i hver mappe på den kompromitterede computer. Løsepenge notater indeholder links til Lorenz datalækwebstedet og til et TOR-betalingswebsted, der er specielt udformet til det pågældende offer. Hvert unikt TOR-betalingssted viser det løsesumbeløb, der er tildelt offeret, der skal betales i Bitcoin. Det tilbyder også en chatfunktionalitet, gennem hvilken ofre kan forsøge at forhandle med Lorenz-hackerne.