.
O grupo de ransomware Lorenz vazou os detalhes de cada pessoa que o contatou por meio de seu formulário de contato on-line ao longo dos últimos dois anos.
Um pesquisador de segurança percebeu que o blog de vítimas da dark web de Lorenz estava vazando código de back-end, extraiu os dados do site e carregou nele um repositório público do GitHub.
Os dados incluem nomes, endereços de e-mail e a linha de assunto inserida no formulário on-line limitado do grupo de ransomware para solicitar informações de Lorenz.
Em algum momento ao longo do último mês, alguém da equipe Lorenz configurou incorretamente seu servidor web Apache2, fazendo com que seu formulário de login vazasse código PHP de back-end
Um subconjunto dos indivíduos incluídos na violação foi abordado por Strong The One e todos confirmaram que contataram Lorenz nos últimos dois anos.
As entradas de dados incluídas no vazamento datam de 3 de junho de 2021 e terminam em 17 de setembro de 2023 – data em que o formulário de contato foi quebrado.
A empresa de segurança Cybereason afirmou anteriormente que o grupo Lorenz estava observado pela primeira vez em fevereiro de 2021o que significa que os dados vazados abrangem quase todo o tempo de existência do grupo.
Htmalgae, o nome online do pesquisador de segurança profissional que encontrou e Publicados o vazamento na web clara, contado com exclusividade Strong The One que o vazamento ocorreu devido a um servidor Apache2 mal configurado.
Editor de código mostrando o código PHP vazado pelo blog de ransomware de Lorenz
“Em algum momento ao longo do último mês, alguém da equipe Lorenz configurou incorretamente seu servidor web Apache2, fazendo com que seu formulário de login vazasse código PHP de back-end.
“Foi provavelmente um dos vazamentos mais fáceis que descobri até agora. Durante minha varredura diária em todos os sites de vergonha de ransomware, me deparei com o formulário de contato quebrado de Lorenz. Foi realmente tão simples quanto visualizar a fonte na página e copiar- colando o caminho do arquivo vazado. Ele foi praticamente colocado no meu colo, eu nem precisei fazer uma verificação de vulnerabilidade.”
De acordo com htmalgae, Lorenz fechou o acesso ao seu formulário de contato online, impedindo tentativas de contato através dele, mas a raiz do problema “não foi resolvida”.
No momento em que este artigo foi escrito, o site e o formulário de contato online de Lorenz ainda estavam acessíveis e os usuários podiam enviar solicitações, mas elas não estavam sendo enviadas ao grupo no momento.
Captura de tela do portal de contato on-line dos grupos de ransomware Lorenz
A descoberta de Lorenz marca uma ocorrência rara de um grupo de ransomware vazando dados contra sua programação.
Publicar dados pertencentes a vítimas que não conseguiram extorquir é uma prática comum de criminosos de ransomware, mas muitos dos envolvidos no último vazamento não foram vítimas de criptografia de ransomware.
A maioria tinha suas identidades mascaradas por trás de nomes falsos e endereços de e-mail obscuros do Proton Mail – uma plataforma preferida por muitos usuários da dark web – mas alguns incluíam detalhes que os identificavam pessoalmente. Estes incluíam repórteres, pessoas que trabalham em serviços financeiros e investigadores de segurança, entre outros.
O que é o grupo de ransomware Lorenz?
Observado pela primeira vez no início de 2021, os especialistas acreditam que o ransomware Lorenz seja uma reformulação da cepa .sZ40 descoberta em outubro de 2020, que por sua vez está ligada à cepa ThunderCrypt de 2017. O blog da vítima do grupo também mostra ‘.sZ40’ escrito no banner da página inicial.
Como muitas das principais operações de ransomware, Lorenz é conhecido por usar um modelo de dupla extorsão em ataques em que rouba dados antes de criptografar os dispositivos das vítimas, exigindo resgate de seus dados e sistemas.
Essa abordagem foi projetada para mitigar a possibilidade de as vítimas simplesmente restaurarem os backups e não terem que pagar os pedidos de resgate para desbloquear o acesso aos dispositivos.
Um de seus ataques mais notórios ocorreu no ano passado, quando foi observado explorando uma vulnerabilidade nos sistemas VoIP da Mitelrastreado como CVE-2022-29499para invadir organizações e criptografar seus dados usando o BitLocker Drive Encryption da Microsoft.
A Cybereason categoriza o nível de ameaça do grupo como “alto” devido à natureza destrutiva de seus ataques. Lorenz também é considerada uma operação sofisticada, com os indivíduos envolvidos normalmente investindo “muito esforço em seus ataques”, incluindo binários personalizados para quase todos os ataques.
“Eles estudam os funcionários, fornecedores e parceiros do seu alvo. Dessa forma, o grupo Lorenz pode até passar de uma vítima já comprometida para outra. O conhecimento que eles coletaram é usado para personalizar o ataque especificamente para o alvo”, disse Cybereason.
Além das atividades de dupla extorsão, Lorenz também é conhecido por atuar como corretor de acesso inicial (IABs), vendendo o acesso que protege a redes corporativas a outros cibercriminosos que podem então lançar ataques adicionais.
SentinelaOne disse Lorenz confiou nos IABs no passado para lançar seus próprios ataques, bem como para agir como um deles.
Lorenz não está entre os grupos de ransomware mais prolíficos em operação, não aparecendo em nenhuma das primeiras classificações em 2023.
Ele postou apenas 16 vítimas em seu site de vazamento em 2023, incluindo aquelas cujas identidades foram mantidas anônimas devido ao pagamento do resgate. Por outro lado, AlphV/BlackCat registrou 13 vítimas apenas nos últimos sete dias. ®
.
