Lorenz Ransomware

Nowe zagrożenie ransomware o nazwie Lorenz Ransomware jest wdrażane w aktywnej kampanii ataków. Pomimo krótkiego czasu od rozpoczęcia tej groźnej operacji, cyberprzestępcom stojącym za Lorenzem udało się ustalić liczbę ofiar w dwunastu różnych organizacjach. Hakerzy włamują się do wewnętrznej sieci swoich ofiar i zaczynają poruszać się na boki w poszukiwaniu poświadczeń administratora domeny Windows, jednocześnie zbierając poufne, niezaszyfrowane pliki i przenosząc je na zdalny serwer. Następnie Lorenz Ransomware rozpocznie szyfrowanie plików przechowywanych w zaatakowanych systemach.

Wszystkie uzyskane dane są publikowane na dedykowanej stronie wycieku, która zawiera informacje od 10 z 12 obecnie wymienionych ofiar. Cyberprzestępcy wykorzystują zebrane dane do stopniowego wywierania nacisku na naruszone organizacje. Jeśli ofiary nie zapłacą żądanej kwoty - od 500 000 do 700 000 USD w zależności od konkretnej ofiary, ich dane zostaną najpierw przekazane innym podmiotom grożącym lub konkurentom. Następnie, jeśli nikt nie jest zainteresowany, hakerzy spakują zebrane dane do chronionych hasłem plików RAR i zaczną udostępniać je falami. Jeśli nadal nie mogą znaleźć kupujących lub skłonić ofiary do zapłacenia okupu, hakerzy Lorenz skutecznie ujawnią hasło, udostępniając wszystkie pliki publicznie. Należy zauważyć, że w przeciwieństwie do innych operacji ransomware grupa Lorenz oferuje sprzedaż dostępu do zaatakowanej sieci wraz z zebranymi danymi.

Szczegóły oprogramowania ransomware Lorenz

Analizy przeprowadzone przez Michaela Gillespie ujawniły, że program szyfrujący Lorenz Ransomware jest podobny do wcześniej wykrytego zagrożenia złośliwym oprogramowaniem o nazwie ThunderCrypt. Nie można obecnie określić, czy oznacza to, że podmiot zagrażający obu operacjom jest ten sam, czy też grupa Lorenz kupiła kod źródłowy ThunderCrypt i stworzyła własny wariant.

Każdy ładunek Lorenz Ransomware jest modyfikowany w celu dopasowania do konkretnej ofiary będącej celem ataku. W związku z tym każda wersja może różnić się pewnymi szczegółami, zachowując to samo zachowanie jako całość. Aby zablokować pliki ofiary, Lorenz Ransomware najpierw używa szyfrowania AES, a następnie szyfruje klucz za pomocą wbudowanego klucza RSA. Każdy plik, którego dotyczy problem, będzie miał rozszerzenie „.Lorenz.sz40" dodane do oryginalnej nazwy jako nowe rozszerzenie.

Żądanie okupu jest następnie dostarczane w postaci plików o nazwie „HELP_SECURITY_EVENT.html", które zostaną umieszczone w każdym folderze na zaatakowanym komputerze. Notatki dotyczące okupu zawierają linki do strony Lorenz, która wyciekła dane oraz do strony płatności TOR stworzonej specjalnie dla tej ofiary. Każda unikalna strona płatności TOR wyświetli kwotę okupu przypisaną ofierze, którą należy zapłacić w Bitcoin. Oferuje również funkcję czatu, za pomocą której ofiary mogą próbować negocjować z hakerami Lorenz.