Los operadores de Lorenz, un grupo de hackers de ransomware activo desde inicios de 2021, han atacado a decenas de compañías en todo el mundo en apenas unos meses, exigiendo rescates de cientos de miles de dólares. Este grupo también recurre a la técnica de doble extorsión, robando información confidencial y luego cifrando los sistemas afectados para obligar a las compañías a realizar pagos de entre 500 mil y 700 mil dólares.
Hace unas semanas los investigadores de la compañía Tesorion comenzaron a analizar una muestra de este malware, lo que les permitió desarrollar una herramienta de descifrado que, en algunos casos, permitiría a las víctimas recuperar el acceso a sus archivos sin tener que negociar con los atacantes. Esta herramienta será lanzada en conjunto con el proyecto NoMoreRansom.
Los expertos también descubrieron que los operadores de Lorenz emplean una combinación de RSA y AES-128 en modo CBC para el cifrado de los archivos infectados, además de que el ransomware genera una contraseña única para cada archivo y deriva una clave de cifrado empleando CryptDeriveKey. La investigación también menciona que el ransomware podrí estar escrito en C++ empleando Microsoft Virtual Studio.
Sobre su funcionamiento, el reporte señala que Lorenz emplea un mutex identificado como “wolf” para garantizar que solo se ejecutará una vez en el sistema infectado. El ransomware envía el nombre de los archivos en el sistema a un servidor C&C antes de cifrar el archivo y posteriormente coloca un encabezado antes del archivo cifrado.
Este encabezado contiene el valor .sz40 seguido de la clave de cifrado. Después de escribir el encabezado del archivo cifrado, todos los archivos se cifran en bloques bastante pequeños de 48 bytes. Los archivos cifrados reciben la extensión .Lorenz.sz40.
Finalmente, los expertos encontraron una falla en la función CryptEncrypt durante el proceso de cifrado: “En consecuencia de este error, por cada archivo cuyo tamaño es un múltiplo de 28 bytes, se perderán los últimos 48 bytes. Esta información se perderá en incluso si se usa la herramienta de descifrado enviada por los hackers”, mencionan los expertos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.