Todo lo que debes saber sobre la nueva banda de ransomware Lorenz
Una nueva operación de ransomware conocida como Lorenz está dirigiéndose a organizaciones de todo el mundo. La banda realiza ataques personalizados que exigen cientos de miles de dólares en rescates.
La banda de ransomware Lorenz comenzó a operar el mes pasado y desde entonces ha acumulado una lista cada vez mayor de víctimas. Los datos robados de las víctimas se han publicado en un sitio de filtración de datos de ransomware.
Michael Gillespie de ID Ransomware ha dicho que el cifrador de ransomware Lorenz es el mismo que el de una operación anterior conocida como ThunderCrypt.
No está claro si Lorenz es del mismo grupo o compró el código fuente del ransomware para crear su propia variante.
Lanzamiento del sitio de filtración de datos para extorsionar a las víctimas
Al igual que otros ataques de ransomware operados por humanos, Lorenz vulnera una red y se extiende lateralmente a otros dispositivos. Hará esto hasta que pueda obtener acceso a las credenciales de administrador de dominio de Windows.
Mientras se propagan por todo el sistema, recolecta archivos no cifrados de los servidores de las víctimas, que cargan en servidores remotos bajo su control.
Estos datos robados luego se publican en un sitio dedicado a la filtración de datos. Esto para presionar a las víctimas para que paguen un rescate o venderán los datos a otros actores de amenazas.
Este sitio de filtración de datos de Lorenz actualmente muestra doce víctimas, con datos publicados para diez de ellas.
Cuando la banda publica datos, hacen las cosas de manera un poco diferente en comparación con otras bandas de ransomware.
Para presionar a las víctimas para que paguen el rescate, Lorenz primero pone los datos a disposición para la venta a otros actores de amenazas o posibles competidores. A medida que pasa el tiempo, comienzan a publicar archivos RAR protegidos con contraseña que contienen los datos de la víctima.
En última instancia, si no se paga ningún rescate y no se compran los datos, Lorenz libera la contraseña de los archivos de filtración de datos. El objetivo de la acción es que estén disponibles públicamente para cualquiera que quiera descargar los archivos.
Otra característica interesante que no se ve en otros sitios de filtración de datos es que Lorenz vende el acceso a la red interna de la víctima junto con los datos.
Para algunos actores de amenazas, el acceso a las redes podría ser más valioso que los datos en sí.
El cifrador de Lorenz
A partir de muestras del ransomware Lorenz observadas, los actores de amenazas personalizan el ejecutable del malware para la organización específica a la que atacan.
En una de las muestras que observamos, el ransomware emite los siguientes comandos para iniciar un archivo llamado ScreenCon.exe. Este parece ser el controlador de dominio de la red local.
wmic /node:"0.0.0.0" /USER:"xx.com\Administrator" /PASSWORD:"xx" process call create "cmd.exe /c schtasks /Create /F /RU System /SC ONLOGON /TN sz402 /TR "\\xx.com\NETLOGON\MSI_Install\ScreenConn.exe" & SCHTASKS /run /TN sz402&SCHTASKS /DelAl cifrar archivos, el ransomware utiliza cifrado AES y una clave RSA incorporada para cifrar la clave de cifrado. Para cada archivo cifrado, se agrega la extensión .Lorenz.sz40 al nombre del archivo.
Por ejemplo, un archivo llamado 1.doc se cifraría y se cambiaría el nombre a 1.doc.Lorenz.sz40. tal como se muestra a continuación en la imagen de una carpeta cifrada.
A diferencia de otros ransomware dirigidos a empresas, la muestra de Lorenz que analizamos no eliminó los procesos ni cerró los servicios de Windows antes del cifrado.
Cada carpeta en la computadora era una nota de rescate llamada HELP_SECURITY_EVENT.html que contiene información sobre lo que sucedió con los archivos de la víctima. También incluyen un enlace al sitio de filtración de datos de Lorenz y un enlace a un sitio de pago Tor único. En ese sitio es donde la víctima puede ver la demanda de rescate.
Cada víctima tiene un sitio de pago Tor dedicado. Este incluye la demanda de rescate en Bitcoin y un formulario de chat que las víctimas pueden negociar con los atacantes.
Montos
De las notas de rescate que observamos, las demandas de rescate de Lorenz oscilan entre $500,000 y $700,000. Las versiones anteriores del ransomware incluían demandas de rescate de un millón de dólares, pero no está claro si estaban afiliadas a la misma operación.
El ransomware se está analizando actualmente en busca de debilidades, y aconsejamos a las víctimas que paguen el rescate. Deben pagar el rescate hasta que se determine si un descifrador gratuito puede recuperar archivos de forma gratuita.
