Lorenz Ransomware Gang går efter virksomheder i forskellige brancher
Højprofilerede ransomware-bander har gradvist skiftet deres fokus fra almindelige brugere til virksomheder og virksomheder. Den seneste trussel mod ransomware til at vedtage denne tilgang er Lorenz Ransomware, og desværre synes denne fil-locker at være umulig at knække. Ligesom DarkSide Ransomware-hackere truer disse også med at frigive stjålne filer online, hvis offeret ikke accepterer at betale en løsesum. Ifølge forskere ser Lorenz Ransomwares krypteringsmekanisme ud til at ligne den, der blev brugt af ThunderCrypt Ransomware, en anden fil-locker, der først dukkede op for over to år siden. DarkSide Ransomware-banden tiltrak for nylig international opmærksomhed på grund af deres angreb mod den USA-baserede Colonial Pipeline .
Desværre synes Lorenz Ransomware-operatører at være seriøse med hensyn til deres trusler om at offentliggøre offerets data online - de har allerede oprettet et websted til at offentliggøre datalækagerne, og dataene fra over ti ofre er angivet der.
Det er ikke klart, hvordan Lorenz Ransomware distribuerer malware og sikrer, at det når deres tiltænkte offer. Indtil videre bruger denne ransomware-bande to afpresningsteknikker til at få penge fra deres offer - de tilbyder at sælge en decryptor, og de truer med at lække deres filer online. Imidlertid har de kriminelle involveret i denne kampagne også besluttet at vedtage en tredje metode til afpresning - de hævder at sælge adgang til de kompromitterede netværk. Dette er en anden grund til, at offeret måske overvejer at betale løsesumgebyret.
Påstået udfører de kriminelle Lorenz Ransomware manuelt på det kompromitterede system - det kan betyde, at de først stoler på andre sårbarheder eller malware for at få adgang til netværket. Kommandoen, de bruger til at udføre Lorenz Ransomware, indeholder også konfigurationsoplysninger om nyttelasten - procesnavn, løsesumnavn, suffiks, der skal bruges til at markere låste filer osv. Et af ofrene havde deres filer markeret med '.Lorenz.xz40 'filtypenavn.
Efter angrebet er afsluttet, løses løsesedlen 'HELP_SECURITY_EVENT.html' på systemet. Det inkluderer en brugerdefineret TOR-baseret betalingsside for hvert offer - en af siderne blev bedt om omkring 14 Bitcoin eller omkring $ 700.000. Indtil videre har ingen ofre valgt at betale løsesumgebyret, så det er et spørgsmål om tid at se, om Lorenz Ransomwares operatører ender med at frigive data offentligt eller sælge adgang til de kompromitterede netværk.
