Le gang Lorenz Ransomware s'en prend aux entreprises de différents secteurs
Les gangs de ransomwares de haut niveau ont progressivement changé de cible, passant des utilisateurs réguliers aux entreprises et aux entreprises. La dernière menace de ransomware à adopter cette approche est le Lorenz Ransomware, et, malheureusement, ce casier de fichiers semble impossible à déchiffrer. Tout comme les pirates de DarkSide Ransomware, ceux-ci menacent également de libérer des fichiers volés en ligne si la victime n'accepte pas de payer une rançon. Selon les chercheurs, le mécanisme de cryptage de Lorenz Ransomware semble être similaire à celui utilisé par ThunderCrypt Ransomware, un autre casier de fichiers apparu pour la première fois il y a plus de deux ans. Le gang DarkSide Ransomware a récemment attiré l'attention internationale en raison de son attaque contre le Colonial Pipeline basé aux États-Unis .
Malheureusement, les opérateurs de Lorenz Ransomware semblent être sérieux au sujet de leurs menaces de publier les données de la victime en ligne - ils ont déjà créé un site Web pour publier les fuites de données, et les données de plus de dix victimes y sont répertoriées.
On ne sait pas comment le Lorenz Ransomware distribue le malware et s'assure qu'il atteindra la victime prévue. Jusqu'à présent, ce gang de ransomwares utilise deux techniques d'extorsion pour obtenir de l'argent de leur victime - ils proposent de vendre un décrypteur et ils menacent de divulguer leurs fichiers en ligne. Cependant, les criminels impliqués dans cette campagne ont également décidé d'adopter une troisième méthode d'extorsion - ils prétendent vendre l'accès aux réseaux compromis. C'est une autre raison pour laquelle la victime pourrait envisager de payer les frais de rançon.
Apparemment, les criminels exécutent le Lorenz Ransomware manuellement sur le système compromis - cela pourrait signifier qu'ils s'appuient d'abord sur d'autres vulnérabilités ou logiciels malveillants pour accéder au réseau. La commande qu'ils utilisent pour exécuter le Lorenz Ransomware contient également des informations de configuration sur la charge utile - nom du processus, nom de la note de rançon, suffixe à utiliser pour marquer les fichiers verrouillés, etc. ' extension de fichier.
Une fois l'attaque terminée, la note de rançon «HELP_SECURITY_EVENT.html» est déposée sur le système. Il comprend une page de paiement personnalisée basée sur TOR pour chaque victime - l'une des pages demandées environ 14 Bitcoin, soit environ 700000 $. Jusqu'à présent, aucune victime n'a choisi de payer les frais de rançon, c'est donc une question de temps pour voir si les opérateurs de Lorenz Ransomware finiront par publier des données ou vendre l'accès aux réseaux compromis.