Lorenz勒索軟件

一種主動攻擊活動中正在部署一種名為Lorenz Ransomware的新勒索軟件威脅。儘管自發起威脅行動以來時間很短，但洛倫茲背後的網絡犯罪分子還是設法將十二個不同組織的受害人聚集在一起。黑客破壞了受害者的內部網絡，並開始橫向移動以尋找Windows域管理員憑據，同時收集敏感的未加密文件並將其洩漏到遠程服務器。之後，Lorenz勒索軟件將開始對存儲在受感染系統上的文件進行加密。

所有獲得的數據都在專門的洩漏網站上發布，該網站顯示了目前列出的12名受害者中的10名的信息。網絡罪犯利用收集到的數據逐步施加壓力，從而加大了對違規組織的壓力。如果受害人不支付所要求的金額-在500,000美元至700,000美元之間，具體取決於特定的受害人，則他們的數據將首先出售給其他威脅行為者或競爭對手。然後，如果沒有人感興趣，黑客會將收集到的數據打包到受密碼保護的RAR文件中，並開始以波浪形式釋放它們。如果他們仍然找不到買家或讓受害者支付贖金，Lorenz黑客將有效地洩漏密碼，從而使所有文件公開可用。應該注意的是，與其他勒索軟件操作不同，Lorenz組提供了與收集到的數據一起出售對受感染網絡的訪問權限的功能。

Lorenz Ransomware詳細信息

邁克爾·吉萊斯皮（Michael Gillespie）進行的分析顯示，洛倫茲勒索軟件加密器類似於先前檢測到的名為ThunderCrypt的惡意軟件威脅。這是否意味著這兩個操作背後的威脅因素是相同的，還是Lorenz小組購買了ThunderCrypt源代碼並創建了自己的變體，所以目前尚無法確定。

對每個Lorenz Ransomware有效載荷進行了調整，以匹配攻擊中針對的特定受害者。這樣，每個版本在某些細節上可能會有所不同，同時總體上保持相同的行為。為了鎖定受害者的文件，Lorenz Ransomware首先使用AES加密，然後使用嵌入式RSA密鑰對密鑰進行加密。每個受影響的文件都會在其原始名稱後附加" .Lorenz.sz40"作為新擴展名。

然後，以名為" HELP_SECURITY_EVENT.html"的文件的形式提供贖金記錄，這些文件將被放入受感染計算機的每個文件夾中。贖金記錄包含指向Lorenz數據洩漏站點和專門為該受害者設計的TOR付款站點的鏈接。每個唯一的TOR支付站點都將顯示分配給受害者的贖金，該贖金必須以比特幣支付。它還提供了聊天功能，受害者可以通過該功能嘗試與Lorenz黑客進行談判。