Lorenz Ransomware Gang insegue aziende di diversi settori

Bande di ransomware di alto profilo hanno gradualmente spostato la loro attenzione dagli utenti regolari alle società e alle imprese. L'ultima minaccia ransomware ad adottare questo approccio è Lorenz Ransomware e, sfortunatamente, questo file-locker sembra essere impossibile da decifrare. Proprio come gli hacker di DarkSide Ransomware, anche questi minacciano di rilasciare file rubati online se la vittima non accetta di pagare una tassa di riscatto. Secondo i ricercatori, il meccanismo di crittografia di Lorenz Ransomware sembra essere simile a quello utilizzato da ThunderCrypt Ransomware, un altro file-locker emerso per la prima volta più di due anni fa. La gang di DarkSide Ransomware ha recentemente attirato l'attenzione internazionale a causa del loro attacco contro il Colonial Pipeline con sede negli Stati Uniti .

Sfortunatamente, gli operatori di Lorenz Ransomware sembrano essere seri riguardo alle minacce di pubblicare i dati della vittima online: hanno già creato un sito Web per pubblicare le fughe di dati e lì sono elencati i dati di oltre dieci vittime.

Non è chiaro come Lorenz Ransomware stia distribuendo il malware e assicurando che raggiunga la vittima designata. Finora, questa banda di ransomware utilizza due tecniche di estorsione per ottenere denaro dalla vittima: si offre di vendere un decryptor e minaccia di far trapelare i propri file online. Tuttavia, i criminali coinvolti in questa campagna hanno anche deciso di adottare un terzo metodo di estorsione: affermano di vendere l'accesso alle reti compromesse. Questo è un altro motivo per cui la vittima potrebbe voler considerare di pagare la tassa di riscatto.

Presumibilmente, i criminali eseguono manualmente Lorenz Ransomware sul sistema compromesso: questo potrebbe significare che prima si affidano ad altre vulnerabilità o malware per ottenere l'accesso alla rete. Il comando che usano per eseguire Lorenz Ransomware contiene anche informazioni di configurazione sul payload: nome del processo, nome della richiesta di riscatto, suffisso da utilizzare per contrassegnare i file bloccati, ecc. Una delle vittime aveva i propri file contrassegnati con '.Lorenz.xz40 ' estensione del file.

Al termine dell'attacco, la richiesta di riscatto "HELP_SECURITY_EVENT.html" viene rilasciata sul sistema. Include una pagina di pagamento basata su TOR personalizzata per ogni vittima: una delle pagine richiedeva circa 14 Bitcoin, ovvero circa $ 700.000. Finora, nessuna vittima ha scelto di pagare la tassa di riscatto, quindi è una questione di tempo per vedere se gli operatori di Lorenz Ransomware finiranno per rilasciare dati pubblicamente o vendere l'accesso alle reti compromesse.