¡Alerta! Lorenz Ransomware

Sitio de fuga de datos basado en Tor de Lorenz

Las grandes organizaciones de Estados Unidos del sector público y del sector salud salud así continúan siendo atacadas por ciber-terroristas que manejan el ransomware Lorenz, advierten los expertos en seguridad cibernética.

“Se usa para atacar a organizaciones más grandes en lo que se llama ‘caza de caza mayor’ y así publicar sus datos para presionar a las víctimas en el proceso de extorsión”, según una nueva alerta de seguridad del Departamento de Salud y Servicios Humanos de EE. UU.

“Se sabe relativamente poco sobre Lorenz en comparación con muchos otros operadores de ransomware”, dice el Centro de Coordinación de Ciberseguridad del Sector de Salud del HHS, o HC3.

El ransomware Lorenz se detectó por primera vez en febrero de 2021 y parece estar relacionado con el ransomware sZ40, visto por primera vez en octubre de 2020, así como con el ransomware ThunderCrypt, que data de mayo de 2017, según el HHS. Entre los puntos en común: “Lorenz usa el mismo encriptador que ThunderCrypt, lo que podría indicar operaciones del mismo grupo, o una compra o robo de código”. Además, los archivos cifrados por Lorenz tienen .Lorenz.sz40 adjunto al nombre del archivo.

Las víctimas conocidas de Lorenz incluyen Wolfe Eye Clinic en Iowa, que fue víctima en abril de 2021 y se negó a pagar un rescate. Se expuso la información de salud protegida de 500,000 pacientes.

Entre otras víctimas recientes, Lorenz afirmó el 14 de noviembre a través de su sitio de fuga de datos, haber afectado a Salud Family Health de Colorado, informó la firma de inteligencia de amenazas Kela.

Salud Family Health advirtió al HHS en octubre que había sufrido un ataque en septiembre que habia expuesto información confidencial de un número aún no especificado de pacientes, informó Databreaches.net.

Por medio de una notificación Salud Family informó a sus pacientes que “su nombre, número de Seguro Social, número de licencia de conducir o número de tarjeta de identificación de Colorado, información de cuenta financiera/número de tarjeta de crédito, número de pasaporte, información de diagnóstico y tratamiento médico, información de seguro médico, datos biométricos, y nombre de usuario y contraseña” pueden haber sido expuestos.

Objetivo: Vulnerabilidad de Mitel VoIP

Los expertos en seguridad dicen que Lorenz parece estar manejado por un solo grupo, además de ser una operación de ransomware operada por humanos.

Eso significa que en lugar de que el ransomware caiga en los sistemas a través de ataques de “phishing” o “botnets”, los atacantes tienden a obtener acceso remoto a una red de destino, se mueven lateralmente, intentan obtener acceso de nivel de administrador a “Active Directory” y finalmente lo utilizan para implementar el ransomware a tantos puntos finales como sea posible.

Lorenz parece usar una variedad de tácticas para obtener acceso a la red de una víctima.

En septiembre, la firma de operaciones de seguridad Arctic Wolf advirtió que Lorenz estaba explotando una vulnerabilidad en la plataforma Mitel MiVoice Connect VoIP, designada CVE-2022-29499, para obtener acceso inicial a las redes de las víctimas. Dijo que, en ese momento, el grupo parecía estar afectando en gran medida a las pequeñas y medianas empresas en los EE. UU., así como a algunas organizaciones en México y China.

Dado que hay al menos 20,000 plataformas Mitel MiVoice Connect conectadas a Internet en todo el mundo, instó a todos los usuarios de Mitel a actualizar a una versión parcheada del software lanzada por el proveedor en abril.

Aparentemente, a Lorenz no le importa pasar semanas reconociendo la red de una víctima. En un caso investigado por Arctic Wolf, descubrió que el atacante que empuñaba Lorenz “esperó casi un mes después de obtener el acceso inicial para realizar actividades adicionales”.

Fuga de datos, con un giro

Al igual que muchos grupos de ransomware, Lorenz a menudo extrae datos de las víctimas y amenaza con volcarlos en su sitio basado en Tor si no pagan un rescate.

Pero Lorenz tiende a adoptar un enfoque “atípico” si las víctimas no pagan, dice HC3. “A continuación, publicarán archivos RAR protegidos con contraseña que contienen los datos de la víctima. Finalmente, si no logran monetizar los datos, si la víctima no paga y los datos no se venden, liberarán la contraseña de los archivos completos, para que estará disponible públicamente para que cualquiera pueda acceder”.

Buscando monetizar sus esfuerzos, el grupo también ha estado vendiendo bases de datos robadas, así como el acceso a la red de una víctima a otros, informa la firma de seguridad cibernética Cybereason.

En junio de 2021, la firma holandesa de ciberseguridad Tesorian lanzó un descifrador gratuito para Lorenz, alojado por el proyecto No More Ransom. En ese momento, Gijs Rijnders, investigador de seguridad de Tesorian, informó que Lorenz estaba exigiendo rescates “bastante altos”, que generalmente oscilaban entre $ 500,000 y $700,000 USD.

Fondo de pantalla de un sistema infectado por Lorenz (Fuente: Cybereason)

El descifrador de Lorenz “puede descifrar archivos afectados (no dañados) en algunos casos sin pagar el rescate”, dijo Rijnders en una publicación de blog en ese momento. “Los tipos de archivos admitidos incluyen documentos de Microsoft Office, archivos PDF y algunos tipos de imágenes y películas”.

Pero en febrero, Cybereason informó que no está claro con qué frecuencia el descifrador recuperará ese tipo de archivos, según las pruebas que ejecutó en archivos cifrados por variantes antiguas y nuevas de Lorenz.

“En la prueba que realizamos para muestras antiguas y nuevas

– el descifrador no funcionó y siguió alertando que no es compatible con los archivos – probamos archivos .docx cifrados: .docx.Lorenz.sz40“.

En marzo, Tesorian informó haber encontrado una variante actualizada de Lorenz, con un sello de compilación del 2 de marzo. “Los archivos cifrados por esta variante son diferentes de la anterior”, dijo Gijs Rijnders, investigador de seguridad de Tesorian, en una publicación de blog.

La firma también encontró “un error grave en el ransomware que hace que el atacante no pueda recuperar ningún archivo cifrado”, dijo. “El descifrado todavía es posible sin pagar el rescate, o para ser más específicos, solo es posible sin pagar el rescate”.