Lorenz Ransomware Gang går etter bedrifter i forskjellige bransjer

Høyprofilerte ransomware-gjenger har gradvis byttet fokus fra vanlige brukere til selskaper og bedrifter. Den siste trusselen mot løsepenger for å bruke denne tilnærmingen er Lorenz Ransomware, og dessverre ser denne filoppbevaringen ut til å være umulig å knekke. Akkurat som DarkSide Ransomware-hackere, truer også disse med å frigjøre stjålne filer online hvis offeret ikke godtar å betale løsepenger. Ifølge forskere ser Lorenz Ransomwares krypteringsmekanisme ut til å være lik den som ble brukt av ThunderCrypt Ransomware, en annen fil-locker som først dukket opp for over to år siden. DarkSide Ransomware-gjengen vakte nylig internasjonal oppmerksomhet på grunn av angrepet mot den USA-baserte Colonial Pipeline .

Dessverre ser Lorenz Ransomware-operatører ut til å være seriøse med truslene om å publisere offerets data online - de har allerede opprettet et nettsted for å publisere datalekkasjene, og dataene til over ti ofre er oppført der.

Det er ikke klart hvordan Lorenz Ransomware distribuerer skadelig programvare og sørger for at den vil nå det tiltenkte offeret. Så langt bruker denne løsepengegjengen to utpressingsteknikker for å få penger fra offeret sitt - de tilbyr å selge en dekrypteringsprogram, og de truer med å lekke filene sine på nettet. Imidlertid har kriminelle involvert i denne kampanjen også bestemt seg for å vedta en tredje metode for utpressing - de hevder å selge tilgang til de kompromitterte nettverkene. Dette er en annen grunn til at offeret kanskje vil vurdere å betale løsepengeravgiften.

Angivelig utfører kriminelle Lorenz Ransomware manuelt på det kompromitterte systemet - dette kan bety at de først stoler på andre sårbarheter eller skadelig programvare for å få tilgang til nettverket. Kommandoen de bruker for å utføre Lorenz Ransomware inneholder også konfigurasjonsinformasjon om nyttelasten - prosessnavn, løsepengernavn, suffiks som skal brukes til å markere låste filer osv. Et av ofrene hadde filene sine merket med '.Lorenz.xz40 ' filutvidelse.

Etter at angrepet er fullført, slippes løsepenger 'HELP_SECURITY_EVENT.html' på systemet. Den inkluderer en tilpasset TOR-basert betalingsside for hvert offer - en av sidene ba om 14 Bitcoin, eller rundt $ 700.000. Så langt har ingen ofre valgt å betale løsepengeravgiften, så det er et spørsmål om tid å se om Lorenz Ransomwares operatører vil ende opp med å slippe data offentlig eller selge tilgang til de kompromitterte nettverkene.