Lorenz Ransomware bandája a különböző iparágak vállalkozásai után megy
A nagy jelentőségű ransomware bandák fokozatosan áttérnek a figyelemre a rendszeres felhasználókról a vállalatokra és a vállalkozásokra. A legújabb ransomware fenyegetés, amely ezt a megközelítést alkalmazza, a Lorenz Ransomware, és sajnos úgy tűnik, hogy ezt a fájlzárat nem lehet feltörni. Csakúgy, mint a DarkSide Ransomware hackerek, ezek is fenyegetést jelentenek az ellopott fájlok online közzétételével, ha az áldozat nem vállalja a váltságdíjat. A kutatók szerint úgy tűnik, hogy Lorenz Ransomware titkosítási mechanizmusa hasonlít a ThunderCrypt Ransomware, egy másik fájlmegőrző által használt mechanizmusra, amely először két évvel ezelőtt jelent meg. A DarkSide Ransomware banda nemrégiben felhívta a nemzetközi figyelmet az amerikai székhelyű Colonial Pipeline elleni támadásuk miatt .
Sajnos úgy tűnik, hogy Lorenz Ransomware operátorai komolyan veszik az áldozat adatainak online közzétételével kapcsolatos fenyegetéseiket - már létrehoztak egy weboldalt az adatszivárgások közzétételére, és több mint tíz áldozat adatai szerepelnek ott.
Nem világos, hogy a Lorenz Ransomware hogyan terjeszti a rosszindulatú programot, és biztosítja, hogy az eljusson a tervezett áldozatához. Eddig ez a ransomware banda két zsarolási technikát használ arra, hogy pénzt szerezzen áldozatától - felajánlanak egy dekódolót, és azzal fenyegetnek, hogy fájljaikat online kiszivárogtatják. A kampányban részt vevő bűnözők azonban egy harmadik zsarolási módszer mellett döntöttek - azt állítják, hogy eladják a hozzáférést a veszélyeztetett hálózatokhoz. Ez egy másik oka annak, hogy az áldozat megfontolhatja a váltságdíj fizetését.
Állítólag a bűnözők a veszélyeztetett rendszeren manuálisan hajtják végre a Lorenz Ransomware programot - ez azt jelentheti, hogy először más sebezhetőségekre vagy rosszindulatú programokra támaszkodnak a hálózat eléréséhez. A Lorenz Ransomware végrehajtásához használt parancs a hasznos teherre vonatkozó konfigurációs információkat is tartalmaz - a folyamat nevét, a váltságdíjas jegyzet nevét, a lezárt fájlok jelölésére használt utótagot stb. Az egyik áldozat fájljait '.Lorenz.xz40 jelöléssel látták el. ' fájlkiterjesztés.
A támadás befejezése után a „HELP_SECURITY_EVENT.html” váltságdíjat a rendszer eldobja. Ez magában foglal egy egyedi TOR-alapú fizetési oldalt minden áldozat számára - az egyik oldal körülbelül 14 Bitcoin-ot, azaz körülbelül 700 000 dollárt kért. Eddig egyetlen áldozat sem választotta a váltságdíj fizetését, ezért idő kérdése, hogy Lorenz Ransomware üzemeltetői végül nyilvánosságra hozzák-e az adatokat, vagy eladják-e a hozzáférést a veszélyeztetett hálózatokhoz.