Lorenzo Ransomware gauja eina po įvairių pramonės šakų įmonių

Didelio atgarsio turinčios išpirkos programinės įrangos gaujos pamažu nukreipė savo dėmesį nuo įprastų vartotojų į įmones ir įmones. Paskutinė išpirkos kenkėjų grėsmė taikyti šį metodą yra „Lorenz Ransomware“, ir, deja, atrodo, kad šios failų saugyklos neįmanoma nulaužti. Kaip ir „DarkSide Ransomware“ įsilaužėliai, šie taip pat grasina pavogtus failus išleisti internetu, jei auka nesutiks sumokėti išpirkos mokesčio. Tyrėjų teigimu, Lorenzo Ransomware šifravimo mechanizmas, atrodo, yra panašus į tą, kurį naudoja „ThunderCrypt Ransomware“ - kita failų saugykla, kuri pirmą kartą pasirodė daugiau nei prieš dvejus metus. „DarkSide Ransomware“ gauja neseniai sulaukė tarptautinio dėmesio dėl savo išpuolio prieš JAV įsikūrusią „Colonial Pipeline“ .

Deja, atrodo, kad Lorenzo Ransomware operatoriai rimtai vertina grasinimus paskelbti aukos duomenis internete - jie jau yra sukūrę internetinę svetainę, kurioje skelbiami duomenų nutekėjimai, ir joje išvardyti daugiau nei dešimties aukų duomenys.

Neaišku, kaip „Lorenz Ransomware“ platina kenkėjišką programą ir užtikrina, kad ji pasieks numatytą auką. Kol kas ši išpirkos gauja naudojasi dviem turto prievartavimo būdais, kad gautų pinigų iš aukos - jie siūlo parduoti iššifruotoją ir grasina nutekinti savo failus internete. Tačiau šioje kampanijoje dalyvaujantys nusikaltėliai taip pat nusprendė taikyti trečiąjį turto prievartavimo būdą - jie teigia, kad parduoda prieigą prie pažeistų tinklų. Tai yra dar viena priežastis, kodėl auka gali norėti sumokėti išpirkos mokestį.

Neva nusikaltėliai pažeidžia sistemoje rankiniu būdu vykdo „Lorenz Ransomware“ - tai gali reikšti, kad jie pirmiausia remiasi kitomis silpnybėmis ar kenkėjiškomis programomis, kad gautų prieigą prie tinklo. Komandoje, kurią jie naudoja vykdydami „Lorenz Ransomware“, taip pat yra konfigūracijos informacijos apie naudingąją apkrovą - proceso pavadinimą, išpirkos užrašo pavadinimą, priesagą, naudojamą užrakintiems failams žymėti ir kt. Vienos aukos failai buvo pažymėti „.Lorenz.xz40 ' failo plėtinys.

Užpuolimui pasibaigus, „HELP_SECURITY_EVENT.html“ išpirkos užrašas metamas į sistemą. Jame yra kiekvienos aukos individualus TOR mokėjimo puslapis - viename iš puslapių buvo prašoma apie 14 Bitcoin arba apie 700 000 USD. Iki šiol nė viena auka nesirinko mokėti išpirkos mokesčio, todėl laiko klausimas, ar Lorenzo Ransomware operatoriai galiausiai viešai skelbs duomenis, ar parduos prieigą prie pažeistų tinklų.