Lorenz Ransomware
Eine neue Ransomware-Bedrohung namens Lorenz Ransomware wird in einer aktiven Angriffskampagne eingesetzt. Trotz der kurzen Zeit seit dem Start der Bedrohungsoperation ist es den Cyberkriminellen hinter Lorenz gelungen, eine Opferzahl von zwölf verschiedenen Organisationen zu erreichen. Die Hacker verletzen das interne Netzwerk ihrer Opfer und bewegen sich seitlich auf der Suche nach Anmeldeinformationen des Windows-Domänenadministrators, während sie vertrauliche unverschlüsselte Dateien sammeln und auf einen Remoteserver filtern. Anschließend beginnt die Lorenz Ransomware mit der Verschlüsselung der auf den gefährdeten Systemen gespeicherten Dateien.
Alle erhaltenen Daten werden auf einer speziellen Leck-Website veröffentlicht, auf der Informationen von 10 der derzeit 12 aufgeführten Opfer angezeigt werden. Die Cyberkriminellen nutzen die gesammelten Daten, um schrittweise Druck auszuüben und den Druck auf die betroffenen Organisationen zu erhöhen. Wenn die Opfer den geforderten Betrag nicht zahlen - je nach Opfer zwischen 500.000 und 700.000 US-Dollar - werden ihre Daten zunächst an andere Bedrohungsakteure oder Konkurrenten weitergegeben. Wenn dann niemand interessiert ist, packen die Hacker die gesammelten Daten in passwortgeschützte RAR-Dateien und beginnen, sie in Wellen freizugeben. Wenn sie immer noch keine Käufer finden oder das Opfer nicht dazu bringen können, das Lösegeld zu zahlen, werden die Lorenz-Hacker das Passwort effektiv verlieren und alle Dateien öffentlich verfügbar machen. Es ist zu beachten, dass die Lorenz-Gruppe im Gegensatz zu anderen Ransomware-Vorgängen anbietet, den Zugriff auf das gefährdete Netzwerk neben den gesammelten Daten zu verkaufen.
Lorenz Ransomware Details
Von Michael Gillespie durchgeführte Analysen haben ergeben, dass der Lorenz Ransomware-Verschlüsseler einer zuvor erkannten Malware-Bedrohung namens ThunderCrypt ähnelt. Ob dies bedeutet, dass der Bedrohungsakteur hinter beiden Vorgängen ein und derselbe ist oder dass die Lorenz-Gruppe den ThunderCrypt-Quellcode gekauft und eine eigene Variante erstellt hat, kann derzeit nicht festgestellt werden.
Jede Nutzlast von Lorenz Ransomware wird an das jeweilige Opfer des Angriffs angepasst. Daher kann sich jede Version in bestimmten Details unterscheiden und dabei das gleiche Verhalten als Ganzes beibehalten. Um die Dateien des Opfers zu sperren, verwendet die Lorenz Ransomware zunächst die AES-Verschlüsselung und verschlüsselt den Schlüssel dann mit einem eingebetteten RSA-Schlüssel. An jede betroffene Datei wird '.Lorenz.sz40' als neue Erweiterung an ihren ursprünglichen Namen angehängt.
Der Lösegeldschein wird dann in Form von Dateien mit dem Namen "HELP_SECURITY_EVENT.html" übermittelt, die in jedem Ordner auf dem gefährdeten Computer abgelegt werden. Die Lösegeldscheine enthalten Links zur Lorenz-Datenleck-Site und zu einer TOR-Zahlungsseite, die speziell für dieses Opfer erstellt wurde. Auf jeder eindeutigen TOR-Zahlungsseite wird der Lösegeldbetrag angezeigt, der dem Opfer zugewiesen wurde und das in Bitcoin bezahlt werden muss. Es bietet auch eine Chat-Funktion, über die Opfer versuchen können, mit den Lorenz-Hackern zu verhandeln.
