Η συμμορία του Lorenz ransomware αναπτύσσει δραστηριότητα στο τοπίο των απειλών από τον Απρίλιο, έχοντας «χτυπήσει» πολυάριθμους οργανισμούς σε όλο τον κόσμο και απαιτώντας, από τα θύματα, λύτρα ύψους εκατοντάδων χιλιάδων δολαρίων.
Όπως και άλλες ransomware συμμορίες, οι χειριστές του Lorenz ransomware εφαρμόζουν επίσης την τακτική του διπλού εκβιασμού, κατά την οποία κλέβουν δεδομένα προτού τα κρυπτογραφήσουν και, στη συνέχεια, απειλούν το θύμα ότι εάν δεν πληρώσει τα απαιτούμενα λύτρα, θα τα διαρρεύσουν στο dark web. Τα λύτρα που απαιτεί η εν λόγω συμμορία κυμαίνονται μεταξύ 500.000 και 700.000 δολαρίων.
Διαβάστε επίσης: Babuk Locker: Το builder του ransomware διέρρευσε online
Ερευνητές από την εταιρεία κυβερνοασφάλειας “Tesorion” ανέλυσαν το ransomware και ανέπτυξαν έναν αποκρυπτογράφο που θα μπορούσε, σε ορισμένες περιπτώσεις, να επιτρέψει στα θύματα να αποκρυπτογραφήσουν τα αρχεία τους δωρεάν. Η εταιρεία σχεδιάζει να κυκλοφορήσει σύντομα τον αποκρυπτογράφο μέσω της πρωτοβουλίας NoMoreRansom.
Το Lorenz ransomware χρησιμοποιεί έναν συνδυασμό RSA και AES-128 σε CBC mode για την κρυπτογράφηση αρχείων, ενώ χρησιμοποιεί επίσης έναν τυχαία δημιουργημένο κωδικό πρόσβασης για κάθε αρχείο και στη συνέχεια δημιουργείται ένα κλειδί κρυπτογράφησης με τη χρήση της λειτουργίας CryptDeriveKey.
Το ransomware είναι πιθανότατα γραμμένο στη γλώσσα προγραμματισμού C ++, ενώ όλα τα δείγματα που αναλύθηκαν από τους ειδικούς συγκεντρώθηκαν με πληροφορίες εντοπισμού σφαλμάτων, πράγμα που κατέστησε την ανάλυση πιο εύκολη.
Δείτε ακόμη: Ransomware ομάδες χρησιμοποιούν εικονικές μηχανές για να «καλύψουν» τις επιθέσεις τους
Το Lorenz δημιουργεί ένα mutex που ονομάζεται «wolf» κατά την εκκίνηση, για να διασφαλίσει ότι εκτελείται μόνο μία φορά τη φορά στα μολυσμένα συστήματα. Επίσης, στέλνει το όνομα του μολυσμένου συστήματος σε έναν C2 προτού κρυπτογραφήσει το αρχείο.
Η ανάλυση που δημοσίευσε η Tesorion αναφέρει τα ακόλουθα: «Τα αρχεία που κρυπτογραφούνται από ransomware περιέχουν συνήθως υποσέλιδα, καθώς τα υποσέλιδα μπορούν εύκολα να προσαρτηθούν σε ένα αρχείο. Το Lorenz, ωστόσο, τοποθετεί μία κεφαλίδα πριν από το κρυπτογραφημένο αρχείο. Αυτό καθιστά το ransomware λιγότερο αποδοτικό, καθώς πρέπει να αντιγράψει το περιεχόμενο κάθε αρχείου. Η κεφαλίδα περιέχει το magic value: «.sz40», που ακολουθείται από το RSA-encrypted file encryption key. Αφού συντάξει την κρυπτογραφημένη κεφαλίδα αρχείου, κάθε αρχείο κρυπτογραφείται ολόκληρο σε μικρά blocks των 48 bytes. Τα κρυπτογραφημένα αρχεία λαμβάνουν την επέκταση αρχείου: “.Lorenz.sz40″».
Πρόταση: Ερευνητές αναλύουν την «επιχείρηση» του LockBit ransomware
Οι ερευνητές βρήκαν ένα σφάλμα στη διαδικασία κρυπτογράφησης, ειδικά στη χρήση της λειτουργίας CryptEncrypt. Το αποτέλεσμα αυτού του σφάλματος είναι ότι σε κάθε αρχείο με μέγεθος πολλαπλάσιο των 48 bytes, τα τελευταία 48 bytes χάνονται. Επομένως, ακόμα κι αν καταφέρει κάποιος να αποκτήσει έναν αποκρυπτογράφο από τους δημιουργούς του malware, αυτά τα bytes δεν μπορούν να ανακτηθούν, σημείωσαν οι ερευνητές.
Οι ερευνητές διαπίστωσαν ακόμη ότι μπορούν να αποκρυπτογραφήσουν (μη κατεστραμμένα) αρχεία που έχουν επηρεαστεί – σε ορισμένες περιπτώσεις χωρίς να πληρώσουν λύτρα.
Η ανάλυση περιλαμβάνει επίσης δείκτες συμβιβασμού (IoCs) για αυτή την απειλή.
Πηγή πληροφοριών: securityaffairs.co
