🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Todo lo que debes saber sobre la nueva banda de ransomware Lorenz

Una nueva operación de ransomware conocida como Lorenz está dirigiéndose a organizaciones de todo el mundo. La banda realiza ataques personalizados que exigen cientos de miles de dólares en rescates.

La banda de ransomware Lorenz comenzó a operar el mes pasado y desde entonces ha acumulado una lista cada vez mayor de víctimas. Los datos robados de las víctimas se han publicado en un sitio de filtración de datos de ransomware.

Michael Gillespie de ID Ransomware  ha dicho que el cifrador de ransomware Lorenz es el mismo que el de una operación anterior conocida como ThunderCrypt.

No está claro si Lorenz es del mismo grupo o compró el código fuente del ransomware para crear su propia variante.

Lanzamiento del sitio de filtración de datos para extorsionar a las víctimas

Al igual que otros ataques de ransomware operados por humanos, Lorenz vulnera una red y se extiende lateralmente a otros dispositivos. Hará esto hasta que pueda obtener acceso a las credenciales de administrador de dominio de Windows.

Mientras se propagan por todo el sistema, recolecta archivos no cifrados de los servidores de las víctimas, que cargan en servidores remotos bajo su control.

Estos datos robados luego se publican en un sitio dedicado a la filtración de datos. Esto para presionar a las víctimas para que paguen un rescate o venderán los datos a otros actores de amenazas.

Este sitio de filtración de datos de Lorenz actualmente muestra doce víctimas, con datos publicados para diez de ellas.

Sitio de fuga de filtración de Lorenz

Cuando la banda publica datos, hacen las cosas de manera un poco diferente en comparación con otras bandas de ransomware.

Para presionar a las víctimas para que paguen el rescate, Lorenz primero pone los datos a disposición para la venta a otros actores de amenazas o posibles competidores. A medida que pasa el tiempo, comienzan a publicar archivos RAR protegidos con contraseña que contienen los datos de la víctima.

En última instancia, si no se paga ningún rescate y no se compran los datos, Lorenz libera la contraseña de los archivos de filtración de datos. El objetivo de la acción es que estén disponibles públicamente para cualquiera que quiera descargar los archivos.

Otra característica interesante que no se ve en otros sitios de filtración de datos es que Lorenz vende el acceso a la red interna de la víctima junto con los datos. 

Para algunos actores de amenazas, el acceso a las redes podría ser más valioso que los datos en sí. 

Ofreciendo acceso a la red interna de la víctima

El cifrador de Lorenz

A partir de muestras del ransomware Lorenz observadas, los actores de amenazas personalizan el ejecutable del malware para la organización específica a la que atacan.

En una de las muestras que observamos, el ransomware emite los siguientes comandos para iniciar un archivo llamado ScreenCon.exe. Este parece ser el controlador de dominio de la red local.

wmic /node:"0.0.0.0" /USER:"xx.com\Administrator" /PASSWORD:"xx" process call create "cmd.exe /c schtasks /Create /F /RU System /SC ONLOGON /TN sz402 /TR "\\xx.com\NETLOGON\MSI_Install\ScreenConn.exe" & SCHTASKS /run /TN sz402&SCHTASKS /Del

Al cifrar archivos, el ransomware utiliza cifrado AES y una clave RSA incorporada para cifrar la clave de cifrado. Para cada archivo cifrado, se agrega la extensión .Lorenz.sz40 al nombre del archivo.

Por ejemplo, un archivo llamado 1.doc se cifraría y se cambiaría el nombre a 1.doc.Lorenz.sz40. tal como se muestra a continuación en la imagen de una carpeta cifrada.

Archivos cifrados de Lorenz

A diferencia de otros ransomware dirigidos a empresas, la muestra de Lorenz que analizamos no eliminó los procesos ni cerró los servicios de Windows antes del cifrado.

Cada carpeta en la computadora era una nota de rescate llamada HELP_SECURITY_EVENT.html que contiene información sobre lo que sucedió con los archivos de la víctima. También incluyen un enlace al sitio de filtración de datos de Lorenz y un enlace a un sitio de pago Tor único. En ese sitio es donde la víctima puede ver la demanda de rescate.

Nota de rescate de Lorenz

Cada víctima tiene un sitio de pago Tor dedicado. Este incluye la demanda de rescate en Bitcoin y un formulario de chat que las víctimas pueden negociar con los atacantes.

Página de pago de Tor de Lorenz

Montos

De las notas de rescate que observamos, las demandas de rescate de Lorenz oscilan entre $500,000 y $700,000. Las versiones anteriores del ransomware incluían demandas de rescate de un millón de dólares, pero no está claro si estaban afiliadas a la misma operación.

El ransomware se está analizando actualmente en busca de debilidades, y aconsejamos a las víctimas que paguen el rescate. Deben pagar el rescate hasta que se determine si un descifrador gratuito puede recuperar archivos de forma gratuita.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información