Lorenz ransomware

Una nueva amenaza de ransomware llamada Lorenz Ransomware se está implementando en una campaña de ataque activa. A pesar del poco tiempo transcurrido desde que se lanzó la amenazante operación, los ciberdelincuentes detrás de Lorenz han logrado acumular un recuento de víctimas de doce organizaciones diferentes. Los piratas informáticos violan la red interna de sus víctimas y comienzan a moverse lateralmente en busca de credenciales de administrador de dominio de Windows mientras recolectan archivos confidenciales no cifrados y los exfiltran a un servidor remoto. Luego, Lorenz Ransomware comenzará a cifrar los archivos almacenados en los sistemas comprometidos.

Todos los datos obtenidos se publican en un sitio web dedicado a la filtración que muestra información de 10 de las 12 víctimas enumeradas actualmente. Los ciberdelincuentes utilizan los datos recopilados para ejercer progresivamente, aumentando la presión sobre las organizaciones violadas. Si las víctimas no pagan la cantidad solicitada, entre $ 500,000 y $ 700,000 dependiendo de la víctima específica, sus datos primero se venderán a otros actores de amenazas o competidores. Luego, si nadie está interesado, los piratas informáticos empaquetarán los datos recopilados en archivos RAR protegidos con contraseña y comenzarán a publicarlos en oleadas. Si aún no pueden encontrar compradores o hacer que la víctima pague el rescate, los piratas informáticos de Lorenz filtrarán la contraseña de manera efectiva, haciendo que todos los archivos estén disponibles públicamente. Cabe señalar que, a diferencia de otras operaciones de ransomware, el grupo Lorenz ofrece vender el acceso a la red comprometida junto con los datos recopilados.

Detalles de Lorenz Ransomware

Los análisis realizados por Michael Gillespie han revelado que el cifrador Lorenz Ransomware es similar a una amenaza de malware detectada anteriormente llamada ThunderCrypt . No se puede determinar actualmente si esto significa que el actor de amenazas detrás de ambas operaciones es el mismo o que el grupo Lorenz compró el código fuente de ThunderCrypt y creó su propia variante.

Cada carga útil de Lorenz Ransomware se ajusta para que coincida con la víctima específica objetivo del ataque. Como tal, cada versión puede diferir en ciertos detalles manteniendo el mismo comportamiento como un todo. Para bloquear los archivos de la víctima, Lorenz Ransomware primero usa el cifrado AES y luego cifra la clave con una clave RSA incorporada. Cada archivo afectado tendrá '.Lorenz.sz40' agregado a su nombre original como una nueva extensión.

La nota de rescate se entrega en forma de archivos llamados 'HELP_SECURITY_EVENT.html' que se colocarán en todas las carpetas de la computadora comprometida. Las notas de rescate contienen enlaces al sitio de filtración de datos de Lorenz y a un sitio de pago TOR diseñado específicamente para esa víctima. Cada sitio de pago de TOR único mostrará el monto del rescate asignado a la víctima que debe pagarse en Bitcoin. También ofrece una función de chat a través de la cual las víctimas pueden intentar negociar con los piratas informáticos de Lorenz.