Lorenz Ransomware Gang追捕不同行业的企业
备受瞩目的勒索软件帮派已逐渐将其重点从常规用户转移到公司和企业。采用此方法的最新勒索软件威胁是Lorenz Ransomware,但不幸的是,该文件锁似乎无法破解。就像DarkSide Ransomware黑客一样,如果受害者不同意支付赎金,这些黑客也威胁要在线释放被盗文件。根据研究人员的说法,Lorenz Ransomware的加密机制似乎类似于ThunderCrypt Ransomware所使用的加密机制,ThunderCrypt Ransomware是另一种两年前首次出现的文件锁。 DarkSide Ransomware团伙最近因袭击美国的Colonial Pipeline而引起了国际关注。
不幸的是,Lorenz Ransomware的运营商似乎对威胁在线发布受害者数据的态度很认真–他们已经建立了一个网站来发布数据泄漏,并且在那里列出了十多个受害者的数据。
目前尚不清楚Lorenz Ransomware如何分发该恶意软件,并确保该恶意软件能够到达其预期的受害者。到目前为止,这个勒索软件团伙使用两种勒索技术从受害者那里获取金钱–他们提供出售解密器的机会,并威胁要在线泄漏文件。但是,参与这场运动的罪犯也决定采用第三种勒索方法-他们声称出售对受感染网络的访问。这是受害者可能要考虑支付赎金的另一个原因。
据称,犯罪分子正在受感染的系统上手动执行Lorenz Ransomware –这可能意味着他们首先依靠其他漏洞或恶意软件来访问网络。他们用来执行Lorenz Ransomware的命令还包含有关有效负载的配置信息-进程名称,勒索票据名称,用于标记锁定文件的后缀等。其中一个受害者的文件标记有'.Lorenz.xz40 ' 文件扩展名。
攻击完成后,“ HELP_SECURITY_EVENT.html”赎金记录将被删除。它包括一个针对每个受害者的基于TOR的自定义付款页面-其中一个页面要求约14个比特币,约合70万美元。到目前为止,还没有受害者选择支付赎金,因此,看看洛伦兹勒索软件的运营商是否最终公开发布数据还是出售对受感染网络的访问权,已经是一个时间问题。