Lorenz Ransomware
Une nouvelle menace de ransomware appelée Lorenz Ransomware est en cours de déploiement dans une campagne d'attaque active. Malgré le court laps de temps écoulé depuis le lancement de l'opération menaçante, les cybercriminels derrière Lorenz ont réussi à accumuler un nombre de victimes de douze organisations différentes. Les pirates informatiques violent le réseau interne de leurs victimes et commencent à se déplacer latéralement à la recherche d'informations d'identification d'administrateur de domaine Windows tout en récoltant des fichiers sensibles non chiffrés et en les exfiltrant vers un serveur distant. Ensuite, le Lorenz Ransomware commencera à chiffrer les fichiers stockés sur les systèmes compromis.
Toutes les données obtenues sont publiées sur un site Web dédié aux fuites contenant des informations sur 10 des 12 victimes actuellement répertoriées. Les cybercriminels utilisent les données collectées pour exercer progressivement une pression croissante sur les organisations violées. Si les victimes ne paient pas le montant demandé - entre 500 000 $ et 700 000 $ selon la victime spécifique, leurs données seront d'abord colportées à d'autres acteurs de la menace ou concurrents. Ensuite, si personne n'est intéressé, les pirates emballeront les données collectées dans des fichiers RAR protégés par mot de passe et commenceront à les publier par vagues. S'ils ne peuvent toujours pas trouver d'acheteurs ou faire payer la rançon à la victime, les pirates de Lorenz divulgueront efficacement le mot de passe, rendant tous les fichiers accessibles au public. Il est à noter que, contrairement à d'autres opérations de ransomware, le groupe Lorenz propose de vendre l'accès au réseau compromis aux côtés des données collectées.
Détails de Lorenz Ransomware
Les analyses menées par Michael Gillespie ont révélé que le crypteur Lorenz Ransomware est similaire à une menace de malware précédemment détectée nommée ThunderCrypt . Que cela signifie que l'acteur de la menace derrière les deux opérations est le même ou que le groupe Lorenz a acheté le code source de ThunderCrypt et a créé sa propre variante ne peut pas être déterminé actuellement.
Chaque charge utile de Lorenz Ransomware est ajustée pour correspondre à la victime spécifique ciblée dans l'attaque. En tant que tel, chaque version peut différer dans certains détails tout en conservant le même comportement dans son ensemble. Pour verrouiller les fichiers de la victime, le Lorenz Ransomware utilise d'abord le cryptage AES, puis crypte la clé avec une clé RSA intégrée. Chaque fichier affecté aura «.Lorenz.sz40» ajouté à son nom d'origine en tant que nouvelle extension.
La note de rançon est ensuite livrée sous la forme de fichiers nommés «HELP_SECURITY_EVENT.html» qui seront déposés dans chaque dossier de l'ordinateur compromis. Les notes de rançon contiennent des liens vers le site de fuite de données de Lorenz et vers un site de paiement TOR spécialement conçu pour cette victime. Chaque site de paiement TOR unique affichera le montant de la rançon attribué à la victime qui doit être payé en Bitcoin. Il offre également une fonctionnalité de chat grâce à laquelle les victimes peuvent tenter de négocier avec les pirates de Lorenz.