Lorenz Ransomware
Een nieuwe ransomware-dreiging genaamd de Lorenz Ransomware wordt ingezet in een actieve aanvalscampagne. Ondanks de korte tijd sinds de dreigende operatie werd gelanceerd, zijn de cybercriminelen achter Lorenz erin geslaagd om een aantal slachtoffers te verzamelen van twaalf verschillende organisaties. De hackers breken het interne netwerk van hun slachtoffers en beginnen lateraal te bewegen op zoek naar de inloggegevens van de Windows-domeinbeheerder, terwijl ze gevoelige niet-versleutelde bestanden verzamelen en deze naar een externe server exfiltreren. Daarna zal de Lorenz Ransomware beginnen met het versleutelen van de bestanden die zijn opgeslagen op de gecompromitteerde systemen.
Alle verkregen gegevens worden gepubliceerd op een speciale lekwebsite die momenteel informatie toont van 10 van de 12 vermelde slachtoffers. De cybercriminelen gebruiken de verzamelde gegevens om zich progressief uit te oefenen, waardoor de druk op de getroffen organisaties toeneemt. Als de slachtoffers het gevraagde bedrag - tussen $ 500.000 en $ 700.000, afhankelijk van het specifieke slachtoffer - niet betalen, zullen hun gegevens eerst worden verspreid naar andere dreigingsactoren of concurrenten. Als niemand geïnteresseerd is, verpakken de hackers de verzamelde gegevens in met een wachtwoord beveiligde RAR-bestanden en beginnen ze in golven vrij te geven. Als ze nog steeds geen kopers kunnen vinden of het slachtoffer het losgeld laten betalen, zullen de Lorenz-hackers het wachtwoord effectief lekken, waardoor alle bestanden openbaar worden gemaakt. Opgemerkt moet worden dat, in tegenstelling tot andere ransomware-operaties, de Lorenz-groep aanbiedt om naast de verzamelde gegevens toegang tot het gecompromitteerde netwerk te verkopen.
Lorenz Ransomware-gegevens
Analyses uitgevoerd door Michael Gillespie hebben onthuld dat de Lorenz Ransomware-encryptor vergelijkbaar is met een eerder gedetecteerde malwarebedreiging genaamd ThunderCrypt . Of dit betekent dat de dreigingsacteur achter beide operaties dezelfde is of dat de Lorenz-groep de ThunderCrypt-broncode heeft gekocht en een eigen variant heeft gemaakt, kan momenteel niet worden vastgesteld.
Elke lading van Lorenz Ransomware wordt aangepast aan het specifieke slachtoffer waarop de aanval gericht is. Als zodanig kan elke versie in bepaalde details verschillen, terwijl hetzelfde gedrag als geheel behouden blijft. Om de bestanden van het slachtoffer te vergrendelen, gebruikt de Lorenz Ransomware eerst AES-codering en codeert vervolgens de sleutel met een ingesloten RSA-sleutel. Aan elk getroffen bestand wordt '.Lorenz.sz40' toegevoegd als een nieuwe extensie aan de oorspronkelijke naam.
Het losgeldbriefje wordt vervolgens afgeleverd in de vorm van bestanden met de naam 'HELP_SECURITY_EVENT.html' die in elke map op de besmette computer worden neergezet. De losgeldbriefjes bevatten links naar de Lorenz-dataleksite en naar een TOR-betalingssite die specifiek voor dat slachtoffer is gemaakt. Elke unieke TOR-betalingssite geeft het losgeldbedrag weer dat aan het slachtoffer is toegewezen en dat in Bitcoin moet worden betaald. Het biedt ook een chatfunctionaliteit waarmee slachtoffers kunnen proberen te onderhandelen met de Lorenz-hackers.
