Lorenz Ransomware

Uma nova ameaça de ransomware chamada Lorenz Ransomware está sendo implantada em uma ativa campanha de ataque. Apesar do curto período desde o lançamento da operação ameaçadora, os cibercriminosos por trás do Lorenz conseguiram acumular uma contagem de vítimas em doze organizações diferentes. Os hackers violam a rede interna de suas vítimas e começam a se mover lateralmente em busca de credenciais de administrador de domínio do Windows, enquanto colhem arquivos confidenciais não criptografados e os exfiltram para um servidor remoto. Depois disso, o Lorenz Ransomware começará a criptografar os arquivos armazenados nos sistemas comprometidos.

Todos os dados obtidos serão publicados em um site de vazamento dedicado, que mostra informações de 10 das 12 vítimas listadas atualmente. Os cibercriminosos usam os dados coletados para exercer progressivamente, aumentando a pressão sobre as organizações violadas. Se as vítimas não pagarem a quantia solicitada - entre US $500.000 e US $700.000, dependendo da vítima específica, seus dados serão primeiro repassados para outros atores da ameaça ou concorrentes. Então, se ninguém estiver interessado, os hackers irão empacotar os dados coletados em arquivos RAR protegidos por senha e começar a liberá-los em ondas. Se eles ainda não conseguirem encontrar compradores ou fazer a vítima pagar o resgate, os hackers Lorenz vazarão a senha de forma eficaz, tornando todos os arquivos disponíveis publicamente. Deve-se notar que, ao contrário de outras operações de ransomware, o grupo Lorenz oferece a venda de acesso à rede comprometida junto com os dados coletados.

Detalhes sobre o Lorenz Ransomware

As análises conduzidas por Michael Gillespie revelaram que o criptografador Lorenz Ransomware é semelhante a uma ameaça de malware detectada anteriormente chamada ThunderCrypt. Não é possível determinar se isso significa que o agente de ameaça por trás de ambas as operações é o mesmo ou que o grupo Lorenz comprou o código-fonte do ThunderCrypt e criou sua própria variante.

Cada carga útil do Lorenz Ransomware é ajustada para corresponder à vítima específica visada no ataque. Como tal, cada versão pode diferir em certos detalhes, mantendo o mesmo comportamento como um todo. Para bloquear os arquivos da vítima, o Lorenz Ransomware primeiro usa a criptografia AES e, em seguida, criptografa a chave com uma chave RSA incorporada. Cada arquivo afetado terá '.Lorenz.sz40' anexado ao seu nome original como uma nova extensão.

A nota de resgate é então entregue na forma de arquivos chamados 'HELP_SECURITY_EVENT.html', que serão colocados em todas as pastas do computador comprometido. As notas de resgate contêm links para o site de vazamento de dados Lorenz e para um site de pagamento TOR criado especificamente para aquela vítima. Cada site de pagamento TOR exclusivo exibirá o valor do resgate atribuído à vítima, que deve ser pago em Bitcoin. Ele também oferece uma funcionalidade de bate-papo por meio da qual as vítimas podem tentar negociar com os hackers do Lorenz.