Μια νέα ransomware επιχείρηση, γνωστή ως Lorenz, στοχεύει οργανισμούς σε όλο τον κόσμο και ζητά εκατοντάδες χιλιάδες δολάρια.
Η συμμορία Lorenz άρχισε να λειτουργεί τον περασμένο μήνα και έχει ήδη μια μεγάλη λίστα θυμάτων, των οποίων τα δεδομένα έχουν δημοσιευτεί σε ένα site διαρροής δεδομένων.
Δείτε επίσης: Brenntag: Η εταιρεία διανομής χημικών πλήρωσε $4,4 εκατ. στο DarkSide ransomware
Ο Michael Gillespie είπε στο BleepingComputer ότι το Lorenz ransomware encryptor είναι ίδιο με μια προηγούμενη ransomware επιχείρηση, γνωστή ως ThunderCrypt. Ωστόσο, δεν γνωρίζουμε αν βρίσκεται η ίδια ομάδα πίσω από τα δύο ransomware ή αν οι hackers αγόρασαν τον source code του ThunderCrypt για να δημιουργήσουν τη δική τους παραλλαγή (Lorenz).
Site διαρροής δεδομένων για εκβιασμό των θυμάτων
Πολλές ransomware συμμορίες συνηθίζουν να παραβιάζουν ένα δίκτυο και να εξαπλώνονται σε άλλες συσκευές έως ότου αποκτήσουν πρόσβαση στα Windows domain administrator credentials. Αυτό κάνει και η συμμορία πίσω από το Lorenz ransomware.
Καθώς εξαπλώνεται σε όλο το σύστημα, η συμμορία συλλέγει μη κρυπτογραφημένα αρχεία από τους servers των θυμάτων, τα οποία ανεβάζει σε απομακρυσμένους servers που ελέγχουν οι ίδιοι οι hackers.
Στη συνέχεια, η συμμορία δημοσιεύει τα κλεμμένα δεδομένα σε ένα site διαρροής δεδομένων για να πιέσει τα θύματα να πληρώσουν λύτρα. Οι hackers μπορούν, επίσης, να πουλήσουν τα δεδομένα σε άλλους εγκληματίες.
Δείτε επίσης: XSS: Το ρωσόφωνο hacking φόρουμ απαγορεύει τα ransomware topics!
Το site διαρροής δεδομένων της ransomware συμμορίας Lorenz περιλαμβάνει επί του παρόντος δώδεκα θύματα. Τα δεδομένα που έχουν δημοσιευτεί ανήκουν σε δέκα από τις εταιρείες-θύματα.
Ωστόσο, υπάρχει μια διαφορά σε σχέση με άλλες συμμορίες.
Για να πιέσουν τα θύματα να πληρώσουν τα λύτρα, οι hackers καθιστούν τα κλεμμένα δεδομένα διαθέσιμα προς πώληση σε άλλους εγκληματίες ή πιθανούς ανταγωνιστές. Με την πάροδο του χρόνου, αρχίζουν να κυκλοφορούν αρχεία RAR που προστατεύονται με κωδικό πρόσβασης και περιέχουν τα δεδομένα του θύματος.
Εάν δεν πληρωθούν τα λύτρα και δεν αγοραστούν τα δεδομένα, η συμμορία Lorenz αφαιρεί τον κωδικό πρόσβασης και δημοσιεύει δωρεάν τα δεδομένα.
Ένα άλλο ξεχωριστό χαρακτηριστικό είναι ότι η Lorenz δεν πουλά μόνο τα δεδομένα αλλά και την πρόσβαση στο εσωτερικό δίκτυο του θύματος. Αυτό είναι πολύ ενδιαφέρον. Οι εγκληματίες του κυβερνοχώρου ενδέχεται να ενδιαφέρονται περισσότερο για την πρόσβαση σε ένα δίκτυο παρά για τα δεδομένα.
Lorenz encryptor
Δείγματα του Lorenz που έχουν εξεταστεί, δείχνουν ότι οι hackers προσαρμόζουν το κακόβουλο λογισμικό, ανάλογα με τον οργανισμό που στοχεύουν.
Σε ένα από τα δείγματα που είδε το BleepingComputer, το ransomware δίνει εντολές για να ξεκινήσει ένα αρχείο με το όνομα ScreenCon.exe από αυτό που φαίνεται να είναι το domain controller του τοπικού δικτύου.
Κατά την κρυπτογράφηση αρχείων, το ransomware χρησιμοποιεί κρυπτογράφηση AES. Στα κρυπτογραφημένα αρχεία προστίθεται η επέκταση .Lorenz.sz40.
Κάθε φάκελος στον υπολογιστή εμφανίζει ένα σημείωμα λύτρων με το όνομα HELP_SECURITY_EVENT.html, που περιέχει πληροφορίες σχετικά με το τι συνέβη στα αρχεία του θύματος. Περιλαμβάνει, επίσης, έναν σύνδεσμο προς το site διαρροής δεδομένων Lorenz και έναν σύνδεσμο προς ένα μοναδικό site πληρωμής Tor, όπου το θύμα μπορεί να δει το ποσό των λύτρων που πρέπει να πληρώσει. Τα θύματα πρέπει να πληρώσουν τα λύτρα με Bitcoin.
Δείτε επίσης: FBI και CISA εξέδωσαν ειδοποίηση για το DarkSide ransomware
Λέγεται ότι τα χρήματα που ζητά η Lorenz ransomware συμμορία κυμαίνονται μεταξύ 500.000 και 700.000 $.
Ωστόσο, τα θύματα πρέπει να αποφεύγουν να πληρώνουν τα λύτρα. Ερευνητές αναλύουν το ransomware και σύντομα μπορεί να κυκλοφορήσει εργαλείο αποκρυπτογράφησης.
Πηγή: Bleeping Computer