Lorenz Ransomware

Una nuova minaccia ransomware denominata Lorenz Ransomware viene implementata in una campagna di attacco attiva. Nonostante il breve lasso di tempo da quando è stata lanciata la minacciosa operazione, i criminali informatici dietro Lorenz sono riusciti a accumulare un numero di vittime di dodici diverse organizzazioni. Gli hacker violano la rete interna delle loro vittime e iniziano a spostarsi lateralmente alla ricerca delle credenziali di amministratore del dominio Windows per tutto il tempo raccogliendo file sensibili non crittografati ed esfiltrandoli su un server remoto. Successivamente, Lorenz Ransomware inizierà a crittografare i file archiviati sui sistemi compromessi.

Tutti i dati ottenuti sono pubblicati su un sito Web dedicato alle perdite che mostra le informazioni di 10 delle 12 vittime elencate attualmente. I criminali informatici utilizzano i dati raccolti per esercitare progressivamente, aumentando la pressione sulle organizzazioni violate. Se le vittime non pagano l'importo richiesto, tra $ 500.000 e $ 700.000 a seconda della vittima specifica, i loro dati verranno prima distribuiti ad altri attori della minaccia o concorrenti. Quindi, se nessuno è interessato, gli hacker impacchetteranno i dati raccolti in file RAR protetti da password e inizieranno a rilasciarli a ondate. Se ancora non riescono a trovare acquirenti o convincere la vittima a pagare il riscatto, gli hacker di Lorenz faranno trapelare la password in modo efficace, rendendo tutti i file disponibili pubblicamente. Va notato che, a differenza di altre operazioni di ransomware, il gruppo Lorenz offre di vendere l'accesso alla rete compromessa insieme ai dati raccolti.

Dettagli su Lorenz Ransomware

Le analisi condotte da Michael Gillespie hanno rivelato che il criptatore Lorenz Ransomware è simile a una minaccia malware precedentemente rilevata chiamata ThunderCrypt . Al momento non è possibile determinare se ciò significhi che l'attore della minaccia dietro entrambe le operazioni è lo stesso o che il gruppo Lorenz ha acquistato il codice sorgente di ThunderCrypt e ha creato la propria variante.

Ogni payload Lorenz Ransomware viene ottimizzato per corrispondere alla vittima specifica presa di mira nell'attacco. Pertanto, ogni versione può differire in alcuni dettagli mantenendo lo stesso comportamento nel suo insieme. Per bloccare i file della vittima, Lorenz Ransomware utilizza prima la crittografia AES e quindi crittografa la chiave con una chiave RSA incorporata. Ogni file interessato avrà ".Lorenz.sz40" aggiunto al nome originale come nuova estensione.

La richiesta di riscatto viene quindi consegnata sotto forma di file denominati "HELP_SECURITY_EVENT.html" che verranno rilasciati in ogni cartella del computer infetto. Le note di riscatto contengono collegamenti al sito di fuga di dati di Lorenz e a un sito di pagamento TOR creato appositamente per quella vittima. Ogni sito di pagamento TOR unico mostrerà l'importo del riscatto assegnato alla vittima che deve essere pagato in Bitcoin. Offre anche una funzionalità di chat attraverso la quale le vittime possono tentare di negoziare con gli hacker di Lorenz.