Μια νέα απειλή για τις επιχειρήσεις

Μια νέα

ransomware

επιχείρηση, γνωστή ως

Lorenz

,

στοχεύει οργανισμούς σε όλο τον κόσμο και ζητά εκατοντάδες χιλιάδες δολάρια.

Η συμμορία Lorenz άρχισε να λειτουργεί τον περασμένο μήνα και έχει ήδη μια μεγάλη λίστα θυμάτων, των οποίων τα



δεδομένα

έχουν

δημοσιευτεί σε ένα site διαρροής δεδομένων.

Δείτε επίσης

: Brenntag: Η



εταιρεία

διανομής χημικών πλήρωσε $4,4 εκατ. στο



DarkSide


ransomware

Ο

Michael Gillespie

είπε στο BleepingComputer ότι το Lorenz

ransomware

encryptor είναι ίδιο με μια προηγούμενη

ransomware

επιχείρηση, γνωστή ως

ThunderCrypt

. Ωστόσο, δεν γνωρίζουμε αν βρίσκεται η ίδια ομάδα πίσω από τα δύο

ransomware

ή αν οι hackers αγόρασαν τον source code του ThunderCrypt για να δημιουργήσουν τη δική τους παραλλαγή (Lorenz).

Site διαρροής δεδομένων για εκβιασμό των θυμάτων

Πολλές

ransomware

συμμορίες συνηθίζουν να παραβιάζουν ένα δίκτυο και να εξαπλώνονται σε άλλες



συσκευές

έως ότου αποκτήσουν πρόσβαση στα Windows domain administrator

credentials

. Αυτό κάνει και η συμμορία πίσω από το Lorenz

ransomware

.

Καθώς εξαπλώνεται σε όλο το σύστημα, η συμμορία

συλλέγει μη κρυπτογραφημένα

αρχεία

από τους servers των θυμάτων,

τα οποία ανεβάζει σε απομακρυσμένους servers που ελέγχουν οι ίδιοι οι hackers.

Στη συνέχεια, η συμμορία

δημοσιεύει τα κλεμμένα



δεδομένα

σε ένα site διαρροής δεδομένων

για να πιέσει τα

θύματα

να πληρώσουν λύτρα. Οι hackers μπορούν, επίσης, να πουλήσουν τα



δεδομένα

σε άλλους



εγκληματίες

.

Δείτε επίσης

: XSS: Το ρωσόφωνο



hacking φόρουμ

απαγορεύει τα

ransomware

topics!

Το site διαρροής δεδομένων της

ransomware

συμμορίας Lorenz περιλαμβάνει επί του παρόντος δώδεκα

θύματα

. Τα



δεδομένα

που έχουν δημοσιευτεί ανήκουν σε δέκα από τις



εταιρείες

–

θύματα

.

Ωστόσο, υπάρχει μια διαφορά σε σχέση με άλλες συμμορίες.

Για να πιέσουν τα

θύματα

να πληρώσουν τα λύτρα, οι hackers καθιστούν τα κλεμμένα



δεδομένα


διαθέσιμα προς πώληση σε άλλους



εγκληματίες

ή πιθανούς ανταγωνιστές.

Με την πάροδο του χρόνου, αρχίζουν να κυκλοφορούν

αρχεία

RAR που προστατεύονται με κωδικό πρόσβασης και περιέχουν τα



δεδομένα

του θύματος.

Εάν δεν πληρωθούν τα λύτρα και δεν αγοραστούν τα



δεδομένα

, η συμμορία Lorenz αφαιρεί τον κωδικό πρόσβασης και δημοσιεύει δωρεάν τα



δεδομένα

.

Ένα άλλο ξεχωριστό χαρακτηριστικό είναι ότι η Lorenz δεν πουλά μόνο τα



δεδομένα

αλλά και την πρόσβαση στο εσωτερικό δίκτυο του θύματος. Αυτό είναι πολύ ενδιαφέρον. Οι



εγκληματίες

του κυβερνοχώρου

ενδέχεται να ενδιαφέρονται περισσότερο για την πρόσβαση σε ένα δίκτυο παρά για τα



δεδομένα


.

Lorenz encryptor

Δείγματα του Lorenz που έχουν εξεταστεί, δείχνουν ότι οι hackers

προσαρμόζουν το κακόβουλο λογισμικό, ανάλογα με τον οργανισμό που στοχεύουν.

Σε ένα από τα δείγματα που είδε το BleepingComputer, το

ransomware

δίνει εντολές για να ξεκινήσει ένα αρχείο με το

όνομα

ScreenCon.exe από αυτό που φαίνεται να είναι το domain controller του τοπικού δικτύου.

Κατά την κρυπτογράφηση αρχείων, το

ransomware

χρησιμοποιεί κρυπτογράφηση AES. Στα κρυπτογραφημένα

αρχεία

προστίθεται η επέκταση .Lorenz.sz40.

Κάθε φάκελος στον



υπολογιστή

εμφανίζει ένα

σημείωμα λύτρων

με το

όνομα

HELP_SECURITY_EVENT.html, που περιέχει πληροφορίες σχετικά με το τι συνέβη στα

αρχεία

του θύματος. Περιλαμβάνει, επίσης, έναν σύνδεσμο προς το site διαρροής δεδομένων Lorenz και έναν σύνδεσμο προς ένα μοναδικό site πληρωμής Tor, όπου το θύμα μπορεί να δει το ποσό των λύτρων που πρέπει να πληρώσει. Τα

θύματα

πρέπει να πληρώσουν τα λύτρα με

Bitcoin

.

Δείτε επίσης

: FBI και CISA εξέδωσαν



ειδοποίηση

για το



DarkSide


ransomware

Λέγεται ότι τα χρήματα που ζητά η Lorenz

ransomware

συμμορία κυμαίνονται μεταξύ 500.000 και 700.000 $.

Ωστόσο, τα

θύματα

πρέπει να αποφεύγουν να πληρώνουν τα λύτρα. Ερευνητές αναλύουν το

ransomware

και σύντομα μπορεί να κυκλοφορήσει





εργαλείο

αποκρυπτογράφησης.

Πηγή: Bleeping Computer