Lorenz Ransomware

एक सक्रिय हमले अभियान में लोरेंज रैनसमवेयर नामक एक नया रैंसमवेयर खतरा तैनात किया जा रहा है। धमकी भरे ऑपरेशन के शुरू होने के बाद से कम समय के बावजूद, लोरेंज के पीछे के साइबर अपराधियों ने बारह अलग-अलग संगठनों की शिकार संख्या को बढ़ाने में कामयाबी हासिल की है। हैकर्स अपने पीड़ितों के आंतरिक नेटवर्क को भंग कर देते हैं और संवेदनशील अनएन्क्रिप्टेड फ़ाइलों की कटाई करते हुए और उन्हें एक दूरस्थ सर्वर पर ले जाते समय विंडोज डोमेन व्यवस्थापक क्रेडेंशियल्स की तलाश में बाद में आगे बढ़ना शुरू कर देते हैं। बाद में, लोरेंज रैनसमवेयर समझौता किए गए सिस्टम पर संग्रहीत फाइलों को एन्क्रिप्ट करना शुरू कर देगा।

सभी प्राप्त डेटा एक समर्पित लीक वेबसाइट पर प्रकाशित होते हैं जो वर्तमान में सूचीबद्ध 12 पीड़ितों में से 10 की जानकारी दिखाता है। साइबर अपराधी एकत्रित डेटा का उपयोग उत्तरोत्तर प्रयोग करने के लिए करते हैं, भंग संगठनों पर दबाव बढ़ाते हैं। यदि पीड़ित विशिष्ट पीड़ित के आधार पर $500,000 और $700,000 के बीच मांगी गई राशि का भुगतान नहीं करते हैं, तो उनका डेटा पहले अन्य खतरे वाले अभिनेताओं या प्रतिस्पर्धियों को भेजा जाएगा। फिर, अगर कोई दिलचस्पी नहीं लेता है, तो हैकर्स एकत्रित डेटा को पासवर्ड-संरक्षित आरएआर फाइलों में पैकेज करेंगे और उन्हें तरंगों में जारी करना शुरू कर देंगे। अगर वे अभी भी खरीदार नहीं ढूंढ पा रहे हैं या फिरौती का भुगतान करने के लिए शिकार नहीं पा रहे हैं, तो लोरेंज हैकर्स पासवर्ड को प्रभावी ढंग से लीक कर देंगे, जिससे सभी फाइलें सार्वजनिक रूप से उपलब्ध हो जाएंगी। यह ध्यान दिया जाना चाहिए कि, अन्य रैंसमवेयर संचालन के विपरीत, लोरेंज समूह एकत्रित डेटा के साथ समझौता किए गए नेटवर्क तक पहुंच बेचने की पेशकश करता है।

लोरेंज रैनसमवेयर विवरण

माइकल गिलेस्पी द्वारा किए गए विश्लेषण से पता चला है कि लोरेन्ज Ransomware encryptor एक पहले से पता चला मैलवेयर नामित खतरा के समान है ThunderCrypt । क्या इसका मतलब यह है कि दोनों ऑपरेशनों के पीछे खतरा अभिनेता एक ही है या लोरेंज समूह ने थंडरक्रिप्ट स्रोत कोड खरीदा है और अपना स्वयं का संस्करण बनाया है, वर्तमान में निर्धारित नहीं किया जा सकता है।

प्रत्येक लोरेंज रैनसमवेयर पेलोड को हमले में लक्षित विशिष्ट पीड़ित से मिलान करने के लिए बदल दिया गया है। जैसे, एक ही व्यवहार को समग्र रूप से रखते हुए प्रत्येक संस्करण कुछ विवरणों में भिन्न हो सकता है। पीड़ित की फाइलों को लॉक करने के लिए, लोरेंज रैनसमवेयर पहले एईएस एन्क्रिप्शन का उपयोग करता है और फिर एक एम्बेडेड आरएसए कुंजी के साथ कुंजी को एन्क्रिप्ट करता है। प्रत्येक प्रभावित फ़ाइल में '.Lorenz.sz40' अपने मूल नाम के साथ एक नए एक्सटेंशन के रूप में जोड़ा जाएगा।

फिरौती नोट फिर 'HELP_SECURITY_EVENT.html' नाम की फाइलों के रूप में वितरित किया जाता है जिसे छेड़छाड़ किए गए कंप्यूटर के प्रत्येक फ़ोल्डर में छोड़ दिया जाएगा। फिरौती के नोटों में लोरेंज डेटा लीक साइट और उस पीड़ित के लिए विशेष रूप से तैयार की गई टीओआर भुगतान साइट के लिंक होते हैं। प्रत्येक अद्वितीय टीओआर भुगतान साइट पीड़ित को सौंपी गई फिरौती की राशि प्रदर्शित करेगी जिसका भुगतान बिटकॉइन में किया जाना है। यह एक चैट कार्यक्षमता भी प्रदान करता है जिसके माध्यम से पीड़ित लोरेंज हैकर्स के साथ बातचीत करने का प्रयास कर सकते हैं।