Lorenz Ransomware

Новая угроза вымогателей под названием Lorenz Ransomware развертывается в рамках активной кампании атаки. Несмотря на то, что с момента начала угрожающей операции прошло немного времени, киберпреступники, стоящие за Лоренцем, сумели собрать число жертв из двенадцати различных организаций. Хакеры взламывают внутреннюю сеть своих жертв и начинают перемещаться по сторонам в поисках учетных данных администратора домена Windows, собирая конфиденциальные незашифрованные файлы и переправляя их на удаленный сервер. После этого Lorenz Ransomware начнет шифрование файлов, хранящихся в скомпрометированных системах.

Все полученные данные публикуются на специальном сайте утечки информации, на котором на данный момент представлена информация 10 из 12 перечисленных жертв. Киберпреступники используют собранные данные для постепенного усиления давления на взломанные организации. Если жертвы не заплатят запрошенную сумму - от 500 000 до 700 000 долларов в зависимости от конкретной жертвы, их данные сначала будут переданы другим злоумышленникам или конкурентам. Затем, если никого не интересует, хакеры упакуют собранные данные в защищенные паролем файлы RAR и начнут выпускать их по очереди. Если они по-прежнему не могут найти покупателей или заставить жертву заплатить выкуп, хакеры Lorenz эффективно утекут пароль, сделав все файлы общедоступными. Следует отметить, что, в отличие от других операций с программами-вымогателями, группа Лоренца предлагает продать доступ к скомпрометированной сети вместе с собранными данными.

Подробная информация о программе-вымогателе Lorenz

Анализ, проведенный Майклом Гиллеспи, показал, что шифровальщик Lorenz Ransomware похож на ранее обнаруженную вредоносную угрозу под названием ThunderCrypt . Означает ли это, что злоумышленник, стоящий за обеими операциями, один и тот же, или что группа Лоренца купила исходный код ThunderCrypt и создала свой собственный вариант, в настоящее время определить невозможно.

Каждая полезная нагрузка Lorenz Ransomware настраивается в соответствии с конкретной жертвой, на которую нацелена атака. Таким образом, каждая версия может отличаться некоторыми деталями, сохраняя при этом одинаковое поведение в целом. Чтобы заблокировать файлы жертвы, программа-вымогатель Lorenz сначала использует шифрование AES, а затем шифрует ключ с помощью встроенного ключа RSA. К каждому затронутому файлу будет добавлено расширение «.Lorenz.sz40» к его исходному имени в качестве нового расширения.

Затем записка о выкупе доставляется в виде файлов с именем HELP_SECURITY_EVENT.html, которые будут помещены в каждую папку на взломанном компьютере. Записки о выкупе содержат ссылки на сайт утечки данных Lorenz и сайт оплаты TOR, созданный специально для этой жертвы. Каждый уникальный сайт оплаты TOR будет отображать сумму выкупа, назначенную жертве, которая должна быть выплачена в биткойнах. Он также предлагает функцию чата, с помощью которой жертвы могут попытаться договориться с хакерами Лоренца.