Lorenz Ransomware
Ett nytt ransomware-hot med namnet Lorenz Ransomware distribueras i en aktiv attackkampanj. Trots den korta tiden sedan den hotande operationen lanserades har cyberbrottslingarna bakom Lorenz lyckats samla in ett offerantal på tolv olika organisationer. Hackarna bryter mot offrenas interna nätverk och börjar flytta i sidled för att söka efter Windows-domänadministratörsuppgifter samtidigt som de skördar känsliga okrypterade filer och exfiltrerar dem till en fjärrserver. Därefter kommer Lorenz Ransomware att börja kryptera filerna som är lagrade på de komprometterade systemen.
All erhållen information publiceras på en dedikerad läckawebbplats som visar information från 10 av de 12 listade offren för närvarande. Cyberkriminella använder den insamlade informationen för att utöva successivt, vilket ökar trycket på de organisationer som bryts mot. Om offren inte betalar det begärda beloppet - mellan 500 000 och 700 000 dollar beroende på det specifika offret, kommer deras data först att skickas till andra hotaktörer eller konkurrenter. Sedan, om ingen är intresserad, kommer hackarna att samla in den insamlade informationen i lösenordsskyddade RAR-filer och börja släppa dem i vågor. Om de fortfarande inte kan hitta köpare eller få offret att betala lösen, kommer Lorenz-hackarna att läcka lösenordet effektivt och göra alla filer tillgängliga offentligt. Det bör noteras att, till skillnad från andra ransomware-operationer, erbjuder Lorenz-gruppen att sälja åtkomst till det komprometterade nätverket tillsammans med den insamlade informationen.
Lorenz Ransomware Detaljer
Analyser utförda av Michael Gillespie har avslöjat att Lorenz Ransomware-krypteraren liknar ett tidigare upptäckt malwarehot med namnet ThunderCrypt. Om detta innebär att hotaktören bakom båda operationerna är en och samma eller att Lorenz-gruppen köpte ThunderCrypt-källkoden och skapade sin egen variant kan inte fastställas för närvarande.
Varje nyttolast för Lorenz Ransomware justeras för att matcha det specifika offer som riktas in i attacken. Som sådan kan varje version skilja sig åt i vissa detaljer och samtidigt behålla samma beteende som helhet. För att låsa offrets filer använder Lorenz Ransomware först AES-kryptering och krypterar sedan nyckeln med en inbäddad RSA-nyckel. Varje påverkad fil kommer att ha '.Lorenz.sz40' bifogat sitt ursprungliga namn som ett nytt tillägg.
Lösenpriset levereras sedan i form av filer med namnet 'HELP_SECURITY_EVENT.html' som kommer att släppas i varje mapp på den komprometterade datorn. Lösenprisnoterna innehåller länkar till Lorenz-dataläckplatsen och till en TOR-betalningssida som är specifikt utformad för offret. Varje unik TOR-betalningssida visar lösenbeloppet som tilldelats offret som måste betalas i Bitcoin. Det erbjuder också en chattfunktionalitet genom vilken offren kan försöka förhandla med Lorenz-hackarna.
