Lorenz RansomwareGangはさまざまな業界の企業を追いかけます
知名度の高いランサムウェアギャングは、焦点を通常のユーザーから企業や企業に徐々に切り替えています。このアプローチを採用する最新のランサムウェアの脅威はLorenzRansomwareであり、残念ながら、このファイルロッカーを解読することは不可能のようです。 DarkSide Ransomwareハッカーと同様に、これらのハッカーも、被害者が身代金を支払うことに同意しない場合、盗まれたファイルをオンラインで公開すると脅迫しています。研究者によると、Lorenz Ransomwareの暗号化メカニズムは、2年以上前に最初に登場した別のファイルロッカーであるThunderCryptRansomwareで使用されているものと類似しているようです。 DarkSide Ransomwareギャングは、米国を拠点とするコロニアルパイプラインに対する攻撃により、最近国際的な注目を集めました。
残念ながら、Lorenz Ransomwareのオペレーターは、被害者のデータをオンラインで公開するという脅威に真剣に取り組んでいるようです。データ漏えいを公開するWebサイトをすでに設定しており、10人以上の被害者のデータがそこにリストされています。
Lorenz Ransomwareがマルウェアをどのように配布し、意図した被害者に確実に到達するかは明らかではありません。これまでのところ、このランサムウェアギャングは、被害者から金を稼ぐために2つの恐喝手法を使用しています。彼らは復号化ツールを販売することを提案し、ファイルをオンラインで漏洩すると脅迫しています。ただし、このキャンペーンに関与した犯罪者は、3番目の恐喝方法を採用することも決定しました。侵害されたネットワークへのアクセスを販売すると主張しています。これは、被害者が身代金の支払いを検討したいと思うかもしれないもう1つの理由です。
伝えられるところによると、犯罪者は侵害されたシステム上でLorenz Ransomwareを手動で実行しています。これは、ネットワークへのアクセスを取得するために、最初に他の脆弱性またはマルウェアに依存していることを意味する可能性があります。 Lorenz Ransomwareを実行するために使用するコマンドには、ペイロードに関する構成情報(プロセス名、身代金メモ名、ロックされたファイルをマークするために使用されるサフィックスなど)も含まれています。被害者の1人は、ファイルに '.Lorenz.xz40のマークを付けました。 'ファイル拡張子。
攻撃が完了すると、「HELP_SECURITY_EVENT.html」身代金メモがシステムにドロップされます。これには、被害者ごとにカスタムのTORベースの支払いページが含まれています。ページの1つは、約14ビットコイン(約$ 700,000)を要求しました。これまでのところ、身代金を支払うことを選択した被害者はいないため、Lorenz Ransomwareのオペレーターがデータを公開するのか、侵害されたネットワークへのアクセスを販売するのかを確認するのは時間の問題です。