Η συμμορία Lorenz Ransomware ακολουθεί επιχειρήσεις σε διαφορετικές βιομηχανίες

Οι συμμορίες υψηλού προφίλ ransomware αλλάζουν σταδιακά την εστίασή τους από τακτικούς χρήστες σε εταιρείες και επιχειρήσεις. Η τελευταία απειλή ransomware για την υιοθέτηση αυτής της προσέγγισης είναι το Lorenz Ransomware και, δυστυχώς, αυτό το κλείδωμα αρχείων φαίνεται να είναι αδύνατο να σπάσει. Ακριβώς όπως οι χάκερ DarkSide Ransomware, αυτοί απειλούν επίσης να απελευθερώσουν κλεμμένα αρχεία στο διαδίκτυο, εάν το θύμα δεν συμφωνήσει να πληρώσει αμοιβή λύτρων. Σύμφωνα με τους ερευνητές, ο μηχανισμός κρυπτογράφησης του Lorenz Ransomware φαίνεται να είναι παρόμοιος με αυτόν που χρησιμοποιήθηκε από το ThunderCrypt Ransomware, ένα άλλο πρόγραμμα αποθήκευσης αρχείων που εμφανίστηκε για πρώτη φορά πριν από δύο χρόνια. Η συμμορία DarkSide Ransomware προσέλκυσε πρόσφατα τη διεθνή προσοχή λόγω της επίθεσής τους εναντίον του Colonial Pipeline που εδρεύει στις ΗΠΑ .

Δυστυχώς, οι χειριστές του Lorenz Ransomware φαίνεται να είναι σοβαροί για τις απειλές τους για δημοσίευση των δεδομένων του θύματος στο διαδίκτυο - έχουν ήδη δημιουργήσει έναν ιστότοπο για τη δημοσίευση των διαρροών δεδομένων και τα δεδομένα άνω των δέκα θυμάτων αναφέρονται εκεί.

Δεν είναι σαφές πώς το Lorenz Ransomware διανέμει το κακόβουλο λογισμικό και διασφαλίζει ότι θα φτάσει στο θύμα που προορίζονται. Μέχρι στιγμής, αυτή η συμμορία ransomware χρησιμοποιεί δύο τεχνικές εκβιασμού για να πάρει χρήματα από το θύμα τους - προσφέρουν να πουλήσουν έναν αποκρυπτογράφο και απειλούν να διαρρεύσουν τα αρχεία τους στο διαδίκτυο. Ωστόσο, οι εγκληματίες που εμπλέκονται σε αυτήν την εκστρατεία αποφάσισαν επίσης να υιοθετήσουν μια τρίτη μέθοδο εκβιασμού - ισχυρίζονται ότι πωλούν πρόσβαση στα παραβιασμένα δίκτυα. Αυτός είναι ένας άλλος λόγος για τον οποίο το θύμα μπορεί να θέλει να σκεφτεί να πληρώσει το τέλος λύτρων.

Σύμφωνα με ισχυρισμούς, οι εγκληματίες εκτελούν το Lorenz Ransomware με μη αυτόματο τρόπο στο παραβιασμένο σύστημα - αυτό μπορεί να σημαίνει ότι πρώτα βασίζονται σε άλλα τρωτά σημεία ή κακόβουλο λογισμικό για να αποκτήσουν πρόσβαση στο δίκτυο. Η εντολή που χρησιμοποιούν για την εκτέλεση του Lorenz Ransomware περιέχει επίσης πληροφορίες διαμόρφωσης σχετικά με το ωφέλιμο φορτίο - όνομα διαδικασίας, όνομα σημείου λύσης, επίθημα που πρέπει να χρησιμοποιείται για την επισήμανση κλειδωμένων αρχείων κ.λπ. Ένα από τα θύματα είχε τα αρχεία τους επισημασμένα με το. ' επέκταση αρχείου.

Μετά την ολοκλήρωση της επίθεσης, η σημείωση λύτρων «HELP_SECURITY_EVENT.html» θα πέσει στο σύστημα. Περιλαμβάνει μια προσαρμοσμένη σελίδα πληρωμής με βάση TOR για κάθε θύμα - μία από τις σελίδες που ζήτησε περίπου 14 Bitcoin ή περίπου 700.000 $. Μέχρι στιγμής, κανένα θύμα δεν έχει επιλέξει να πληρώσει το τέλος λύτρων, επομένως είναι θέμα χρόνου να δούμε αν οι χειριστές του Lorenz Ransomware θα καταλήξουν να δημοσιεύουν δεδομένα δημόσια ή να πουλήσουν πρόσβαση στα συμβιβασμένα δίκτυα.