Lorenz Ransomware

Lorenz Ransomware adlı yeni bir fidye yazılımı tehdidi, aktif bir saldırı kampanyasında konuşlandırılıyor. Tehdit operasyonunun başlamasından bu yana geçen kısa süreye rağmen, Lorenz'in arkasındaki siber suçlular on iki farklı kuruluştan kurban sayısını toplamayı başardılar. Bilgisayar korsanları, kurbanlarının dahili ağını ihlal eder ve Windows etki alanı yöneticisi kimlik bilgilerini aramak için yanal olarak hareket etmeye başlarken, bu arada hassas şifrelenmemiş dosyaları toplar ve onları uzak bir sunucuya sızdırır. Daha sonra Lorenz Ransomware, tehlikeye atılan sistemlerde depolanan dosyaları şifrelemeye başlayacaktır.

Elde edilen tüm veriler, şu anda listelenen 12 kurbandan 10'undan bilgileri gösteren özel bir sızıntı web sitesinde yayınlanmaktadır. Siber suçlular, toplanan verileri aşamalı olarak uygulamak için kullanır ve ihlal edilen kuruluşlar üzerindeki baskıyı artırır. Kurbanlar istenen miktarı ödemezlerse - belirli kurbana bağlı olarak 500.000 ila 700.000 dolar arasında, verileri önce diğer tehdit aktörlerine veya rakiplere satılacaktır. Ardından, kimse ilgilenmiyorsa, bilgisayar korsanları toplanan verileri parola korumalı RAR dosyalarına paketleyecek ve dalgalar halinde yayınlamaya başlayacak. Hala alıcı bulamazlarsa veya kurbanın fidyeyi ödemesini sağlayamazlarsa, Lorenz bilgisayar korsanları şifreyi etkili bir şekilde sızdıracak ve tüm dosyaları halka açık hale getirecektir. Diğer fidye yazılımı işlemlerinden farklı olarak Lorenz grubunun, toplanan verilerin yanı sıra güvenliği ihlal edilmiş ağa erişimi satmayı teklif ettiği unutulmamalıdır.

Lorenz Ransomware Ayrıntıları

Michael Gillespie tarafından yapılan analizler, Lorenz Ransomware şifreleyicinin daha önce tespit edilen ThunderCrypt adlı bir kötü amaçlı yazılım tehdidine benzer olduğunu ortaya çıkardı. Bunun, her iki operasyonun arkasındaki tehdit aktörünün tek ve aynı olduğu veya Lorenz grubunun ThunderCrypt kaynak kodunu satın aldığı ve kendi varyantını oluşturduğu anlamına gelip gelmediği şu anda belirlenemiyor.

Her Lorenz Ransomware yükü, saldırıda hedeflenen belirli kurbanla eşleşecek şekilde ayarlandı. Bu nedenle, her sürüm bir bütün olarak aynı davranışı korurken belirli ayrıntılarda farklılık gösterebilir. Kurbanın dosyalarını kilitlemek için, Lorenz Ransomware önce AES şifrelemesini kullanır ve ardından anahtarı gömülü bir RSA anahtarıyla şifreler. Etkilenen her dosyanın orijinal adına yeni bir uzantı olarak '.Lorenz.sz40' eklenir.

Fidye notu, güvenliği ihlal edilen bilgisayardaki her klasöre bırakılacak olan 'HELP_SECURITY_EVENT.html' adlı dosyalar biçiminde teslim edilir. Fidye notları, Lorenz veri sızıntısı sitesine ve o kurban için özel olarak hazırlanmış bir TOR ödeme sitesine bağlantılar içerir. Her benzersiz TOR ödeme sitesi, kurbana atanan ve Bitcoin ile ödenmesi gereken fidye tutarını gösterecektir. Ayrıca, kurbanların Lorenz bilgisayar korsanları ile pazarlık yapmaya çalışabilecekleri bir sohbet işlevi sunar.