Lorenzランサムウェア

Lorenz Ransomwareという名前の新しいランサムウェアの脅威が、アクティブな攻撃キャンペーンで展開されています。脅迫作戦が開始されてからの短い時間にもかかわらず、ローレンツの背後にいるサイバー犯罪者は、12の異なる組織の犠牲者数を何とか積み上げてきました。ハッカーは被害者の内部ネットワークを侵害し、Windowsドメイン管理者の資格情報を探して横方向に移動し始めます。その間、機密性の高い暗号化されていないファイルを収集し、リモートサーバーに侵入します。その後、Lorenz Ransomwareは、侵害されたシステムに保存されているファイルの暗号化を開始します。

得られたすべてのデータは、現在リストされている12人の犠牲者のうち10人からの情報を示す専用のリークWebサイトで公開されています。サイバー犯罪者は、収集したデータを使用して、侵害された組織に徐々に圧力をかけます。被害者が要求された金額を支払わない場合（特定の被害者に応じて$ 500,000から$ 700,000の間）、彼らのデータは最初に他の脅威アクターまたは競合他社に売り込まれます。次に、誰も興味がない場合、ハッカーは収集したデータをパスワードで保護されたRARファイルにパッケージ化し、Waveでリリースを開始します。それでも購入者を見つけられない場合、または被害者に身代金を支払わせることができない場合、Lorenzハッカーはパスワードを効果的に漏らし、すべてのファイルを公開します。他のランサムウェア操作とは異なり、ローレンツグループは、収集されたデータと一緒に、侵害されたネットワークへのアクセスを販売することを提案していることに注意してください。

Lorenzランサムウェアの詳細

Michael Gillespieが実施した分析により、Lorenz Ransomwareエンクリプターは、以前に検出されたThunderCryptというマルウェアの脅威に類似していることが明らかになりました。これが、両方の操作の背後にある脅威アクターが同一であることを意味するのか、ローレンツグループがThunderCryptソースコードを購入して独自のバリアントを作成したことを意味するのかは、現時点では特定できません。

各LorenzRansomwareペイロードは、攻撃の対象となる特定の被害者に一致するように調整されています。そのため、各バージョンは、全体として同じ動作を維持しながら、特定の詳細が異なる場合があります。被害者のファイルをロックするために、Lorenz Ransomwareは最初にAES暗号化を使用し、次に埋め込まれたRSAキーでキーを暗号化します。影響を受ける各ファイルには、新しい拡張子として元の名前に「.Lorenz.sz40」が追加されます。

身代金メモは、「HELP_SECURITY_EVENT.html」という名前のファイルの形式で配信され、侵入先のコンピューターのすべてのフォルダーにドロップされます。身代金メモには、Lorenzのデータ漏えいサイトおよびその被害者のために特別に作成されたTOR支払いサイトへのリンクが含まれています。それぞれの固有のTOR支払いサイトには、ビットコインで支払わなければならない被害者に割り当てられた身代金の金額が表示されます。また、被害者がLorenzハッカーとの交渉を試みることができるチャット機能も提供します。