Une nouvelle opération de ransomware connue sous le nom de Lorenz cible les organisations du monde entier avec des attaques personnalisées exigeant des centaines de milliers de dollars de rançons.

Le gang de ransomwares Lorenz a commencé à fonctionner le mois dernier et a depuis accumulé une liste croissante de victimes dont les données volées ont été publiées sur un site de fuite de données de ransomware.

Michael Gillespie d’ID Ransomware a déclaré à BleepingComputer que le crypteur de ransomware Lorenz est identique à une opération précédente connue sous le nom de ThunderCrypt.

Il n’est pas clair si Lorenz est du même groupe ou a acheté le code source du ransomware pour créer sa propre variante.

Lancement d’un site de fuite de données pour extorquer les victimes

Comme d’autres attaques de ransomwares opérées par l’homme, Lorenz violera un réseau et se propagera latéralement à d’autres appareils jusqu’à ce qu’ils aient accès aux informations d’identification de l’administrateur de domaine Windows.

Tout en se répandant dans tout le système, ils récolteront des fichiers non chiffrés sur les serveurs des victimes, qu’ils téléchargent sur des serveurs distants sous leur contrôle.

Ces données volées sont ensuite publiées sur un site de fuite de données dédié pour faire pression sur les victimes pour qu’elles paient une rançon ou pour vendre les données à d’autres acteurs de la menace.

Ce site de fuite de données de Lorenz répertorie actuellement douze victimes, avec des données publiées pour dix d’entre elles.

Lorsque le gang de Lorenz publie des données, il fait les choses un peu différemment des autres gangs de ransomwares.

Pour faire pression sur les victimes afin qu’elles paient la rançon, Lorenz met d’abord les données à disposition pour la vente à d’autres acteurs de la menace ou à des concurrents potentiels. Au fil du temps, ils commencent à publier des archives RAR protégées par mot de passe contenant les données de la victime.

En fin de compte, si aucune rançon n’est payée et que les données ne sont pas achetées, Lorenz publie le mot de passe pour les archives de fuite de données afin qu’elles soient accessibles au public pour quiconque télécharge les fichiers.

Une autre caractéristique intéressante que l’on ne voit pas dans d’autres sites de fuite de données est que Lorenz vend l’accès à la victime interne …