Банда вымогателей Lorenz преследует предприятия в различных отраслях
Известные банды вымогателей постепенно переключают свое внимание с обычных пользователей на компании и предприятия. Последней угрозой вымогателей, использующей этот подход, является программа-вымогатель Lorenz, и, к сожалению, этот файловый шкафчик невозможно взломать. Так же, как хакеры DarkSide Ransomware, они также угрожают опубликовать украденные файлы в Интернете, если жертва не согласится заплатить выкуп. По словам исследователей, механизм шифрования Lorenz Ransomware похож на тот, который использовался в ThunderCrypt Ransomware, другом хранилище файлов, впервые появившемся более двух лет назад. Банда DarkSide Ransomware недавно привлекла внимание международного сообщества из-за своей атаки на расположенный в США Colonial Pipeline .
К сожалению, операторы Lorenz Ransomware, похоже, серьезно относятся к своим угрозам публикации данных жертвы в Интернете - они уже создали веб-сайт для публикации утечек данных, и там перечислены данные более десяти жертв.
Неясно, как программы-вымогатели Lorenz распространяют вредоносное ПО и гарантируют, что оно достигнет своей предполагаемой жертвы. Пока что эта банда вымогателей использует два метода вымогательства, чтобы получить деньги от своей жертвы: они предлагают продать дешифратор и угрожают утечкой своих файлов в Интернет. Однако преступники, участвовавшие в этой кампании, также решили применить третий метод вымогательства - они заявляют, что продают доступ к скомпрометированным сетям. Это еще одна причина, по которой жертва может захотеть рассмотреть вопрос об уплате выкупа.
Предположительно, злоумышленники вручную запускают программу-вымогатель Lorenz на скомпрометированной системе - это может означать, что они сначала полагаются на другие уязвимости или вредоносное ПО, чтобы получить доступ к сети. Команда, которую они используют для запуска Lorenz Ransomware, также содержит конфигурационную информацию о полезной нагрузке - имя процесса, имя примечания с требованием выкупа, суффикс, который будет использоваться для пометки заблокированных файлов и т. Д. Файлы одной из жертв были помечены как '.Lorenz.xz40 ' расширение файла.
После завершения атаки в системе сбрасывается записка с требованием выкупа HELP_SECURITY_EVENT.html. Он включает в себя настраиваемую страницу оплаты на основе TOR для каждой жертвы - на одной из страниц запрашивается около 14 биткойнов, или около 700000 долларов. Пока ни одна жертва не решила заплатить выкуп, поэтому вопрос времени, чтобы увидеть, будут ли операторы Lorenz Ransomware в конечном итоге публиковать данные или продавать доступ к скомпрометированным сетям.