Lorenz Ransomware

Una nueva operación de ransomware conocida como Lorenz se dirige a organizaciones de todo el mundo con ataques personalizados que exigen cientos de miles de dólares en rescate.

La banda de ransomware Lorenz comenzó a operar el mes pasado y desde entonces ha acumulado una lista cada vez mayor de víctimas cuyos datos robados se han publicado en un sitio de filtración de datos de ransomware.

No está claro si Lorenz pertenece al mismo grupo o compró un código fuente del ransomware para crear su propia variante.

Al igual que otros ataques de ransomware administrados por humanos, Lorenz abrirá una brecha en una red y se extenderá lateralmente a otros dispositivos hasta que tengan acceso a las credenciales de administrador de dominio de Windows.

Mientras se distribuyen por todo el sistema, recopilarán archivos no cifrados de los servidores de las víctimas, que subirán a servidores remotos bajo su control.

Estos datos robados luego se publican en un sitio dedicado a la filtración de datos para presionar a las víctimas para que paguen un rescate o vendan los datos a otros actores de amenazas.

Este sitio de filtración de datos de Lorenz actualmente enumera doce víctimas, con datos publicados para diez de ellas.

Cuando la banda de Lorenz publica datos, hace las cosas de manera un poco diferente a otras bandas de ransomware.

Para presionar a las víctimas para que paguen el rescate, Lorenz pone los datos a disposición para la venta a otros actores de amenazas o posibles competidores. A medida que pasa el tiempo, comienzan a liberar archivos RAR protegidos con contraseña que contienen los datos de la víctima.

En última instancia, si no se paga ningún rescate y no se compran los datos, Lorenz libera la contraseña de los archivos de filtración de datos para que estén disponibles públicamente para cualquiera que descargue los archivos.

Otra característica interesante que no se ve en otros sitios de filtración de datos es que Lorenz vende el acceso a la red interna de la víctima junto con los datos. Para algunos actores de amenazas, el acceso a las redes puede ser más valioso que los datos en sí.

Entradas relacionadas

Dejar un Comentario