“Encrypted by Lorenz”: Untersuchung eines Ransomware-Angriffs

Encrypted by Lorenz Ransomware

Arctic Wolf untersuchte vor Kurzem einen Lorenz-Ransomware-Angriff, der eine Schwachstelle in der Mitel MiVoice VoIP-Appliance (CVE-2022-29499) für den ersten Zugriff und Microsofts BitLocker Drive Encryption für die Datenverschlüsselung nutzte.

Lorenz ist eine Ransomware-Gruppe, die seit spätestens Februar 2021 aktiv ist und wie viele Ransomware-Gruppen Daten ihres Angriffziels exfiltriert, bevor sie die Systeme verschlüsselt. Im letzten Quartal hatte es die Gruppe vor allem auf kleine und mittlere Unternehmen in den Vereinigten Staaten abgesehen, aber auch Organisationen in China und Mexiko waren betroffen.

Anzeige

Die Arctic Wolf-Untersuchung führte zu folgenden Erkenntnissen:

  • Lorenz wartete fast einen Monat, nachdem die Gruppe den initialen Zugang erlangt hatte, um weitere Aktivitäten durchzuführen.
  • Lorenz exfiltrierte Daten über FileZilla.
  • Die Verschlüsselung erfolgte über BitLocker und Lorenz Ransomware auf ESXi.
  • Lorenz ging mit einem hohen Maß an operativer Sicherheit (OPSEC) vor.
  • Ransomware-Gruppen verwenden weiterhin Living Off the Land Binaries (LOLBins) und verschaffen sich Zugang zu 0day-Exploits.
  • Process und PowerShell Logging kann die geeignete Reaktion auf einen Vorfall erheblich unterstützen und möglicherweise zur Entschlüsselung verschlüsselter Dateien beitragen.

Nähere Informationen zu Lorenz-Ransomware-Angriffen und weitere Erkenntnisse der Untersuchung finden Sie hier.

arcticwolf.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.