Lorenz勒索软件

一种主动攻击活动中正在部署一种名为Lorenz Ransomware的新勒索软件威胁。尽管自发起威胁行动以来时间很短，但洛伦兹背后的网络犯罪分子还是设法将十二个不同组织的受害人聚集在一起。黑客破坏了受害者的内部网络，并开始横向移动以寻找Windows域管理员凭据，同时收集敏感的未加密文件并将其泄漏到远程服务器。之后，Lorenz勒索软件将开始对存储在受感染系统上的文件进行加密。

所有获得的数据都在专门的泄漏网站上发布，该网站显示了目前列出的12名受害者中的10名的信息。网络罪犯利用收集到的数据逐步施加压力，从而加大了对违规组织的压力。如果受害人不支付所要求的金额-在500,000美元至700,000美元之间，具体取决于特定的受害人，则他们的数据将首先出售给其他威胁行为者或竞争对手。然后，如果没有人感兴趣，黑客会将收集到的数据打包到受密码保护的RAR文件中，并开始以波浪形式释放它们。如果他们仍然找不到买家或让受害者支付赎金，Lorenz黑客将有效地泄漏密码，从而使所有文件公开可用。应该注意的是，与其他勒索软件操作不同，Lorenz组提供了与收集到的数据一起出售对受感染网络的访问权限的功能。

Lorenz Ransomware详细信息

迈克尔·吉莱斯皮（Michael Gillespie）进行的分析显示，洛伦兹勒索软件加密器类似于先前检测到的名为ThunderCrypt的恶意软件威胁。这是否意味着这两个操作背后的威胁因素是相同的，还是Lorenz小组购买了ThunderCrypt源代码并创建了自己的变体，所以目前尚无法确定。

对每个Lorenz Ransomware有效载荷进行了调整，以匹配攻击中针对的特定受害者。这样，每个版本在某些细节上可能会有所不同，同时总体上保持相同的行为。为了锁定受害者的文件，Lorenz Ransomware首先使用AES加密，然后使用嵌入式RSA密钥对密钥进行加密。每个受影响的文件都会在其原始名称后附加" .Lorenz.sz40"作为新扩展名。

然后，以名为" HELP_SECURITY_EVENT.html"的文件的形式提供赎金记录，这些文件将被放入受感染计算机的每个文件夹中。赎金记录包含指向Lorenz数据泄漏站点和专门为该受害者设计的TOR付款站点的链接。每个唯一的TOR支付站点都将显示分配给受害者的赎金，该赎金必须以比特币支付。它还提供了聊天功能，受害者可以通过该功能尝试与Lorenz黑客进行谈判。