Gang Lorenz Ransomware atakuje przedsiębiorstwa z różnych branż

Znane gangi ransomware stopniowo przeniosły swoją uwagę ze zwykłych użytkowników na firmy i przedsiębiorstwa. Najnowszym zagrożeniem ransomware, które przyjęło to podejście, jest Lorenz Ransomware i niestety wydaje się, że tego narzędzia do przechowywania plików nie da się złamać. Podobnie jak hakerzy DarkSide Ransomware, ci również grożą udostępnieniem skradzionych plików online, jeśli ofiara nie zgodzi się zapłacić okupu. Według naukowców mechanizm szyfrowania Lorenz Ransomware wydaje się być podobny do tego używanego przez ThunderCrypt Ransomware, kolejny program do przechowywania plików, który pojawił się po raz pierwszy ponad dwa lata temu. Gang DarkSide Ransomware przyciągnął ostatnio międzynarodową uwagę z powodu ataku na amerykański Colonial Pipeline .

Niestety, wydaje się, że operatorzy Lorenz Ransomware poważnie traktują swoje groźby publikowania danych ofiary w Internecie - założyli już stronę internetową do publikowania wycieków danych, a dane ponad dziesięciu ofiar są tam wymienione.

Nie jest jasne, w jaki sposób Lorenz Ransomware rozprowadza złośliwe oprogramowanie i zapewnia, że dotrze do zamierzonej ofiary. Jak dotąd ten gang ransomware wykorzystuje dwie techniki wymuszenia, aby zdobyć pieniądze od swojej ofiary - oferuje sprzedaż odszyfrowacza i grozi, że wycieknie do sieci. Jednak przestępcy zaangażowani w tę kampanię zdecydowali się również na trzecią metodę wymuszenia - twierdzą, że sprzedają dostęp do zhakowanych sieci. To kolejny powód, dla którego ofiara może chcieć rozważyć zapłacenie okupu.

Podobno przestępcy wykonują Lorenz Ransomware ręcznie w zaatakowanym systemie - może to oznaczać, że w celu uzyskania dostępu do sieci najpierw polegają na innych lukach lub złośliwym oprogramowaniu. Polecenie, którego używają do wykonania Lorenz Ransomware, zawiera również informacje o konfiguracji ładunku - nazwę procesu, nazwę żądania okupu, sufiks używany do oznaczania zablokowanych plików itp. Jedna z ofiar miała swoje pliki oznaczone jako „.Lorenz.xz40”. ' rozszerzenie pliku.

Po zakończeniu ataku żądanie okupu „HELP_SECURITY_EVENT.html” jest umieszczane w systemie. Zawiera niestandardową stronę płatności opartą na TOR dla każdej ofiary - jedną ze stron proszonych o około 14 Bitcoinów, czyli około 700 000 USD. Jak dotąd żadna z ofiar nie zdecydowała się zapłacić okupu, więc kwestią czasu jest sprawdzenie, czy operatorzy Lorenz Ransomware w końcu udostępnią dane publicznie lub sprzedadzą dostęp do zaatakowanych sieci.