Новости Вымогательская группа Lorenz стала жертвой своей же утечки

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
Группа вымогателей Lorenz непреднамеренно раскрыла данные всех людей, которые пытались связаться с ней через онлайн-форму на темном сайте в течение последних двух лет.


Среди этих данных — имена, email-адреса и темы запросов.
Проблему обнаружил исследователь безопасности, известный под псевдонимом Htmalgae. Он зафиксировал утечку бэкэнд-кода и опубликовал извлеченные сведения на .

1837164049_0:317:3077:2047_1920x0_80_0_0_7a04b8eb7163d9d5ed3b8cd0634e8083.jpg


Причиной инцидента стала ошибка в настройках веб-сервера Apache2 со стороны команды Lorenz.

«Кто-то из Lorenz допустил ошибку в настройках веб-сервера Apache2. Это привело к утечке раскрытию формы авторизации», — объясняет Htmalgae. «Эта утечка, пожалуй, одна из самых простых, которые я когда-либо находил. Я обнаружил неисправную форму обратной связи Lorenz во время ежедневной проверки вымогательских сайтов. Мне достаточно было просмотреть исходный код страницы и скопировать адрес утекшего файла».

Htmalgae также уточнил, что Lorenz временно закрыли доступ к своей контактной форме, но основная проблема «так и осталась нерешенной». Сайт по-прежнему функционирует, пользователи могут отправлять запросы (хотя до хакеров они уже не доходят).

Сам факт утечки может подорвать репутацию группы в киберкриминальном мире и привести к арестам.

Lorenz впервые появилась на радаре экспертов в 2021 году. Есть версия, что их вымогательское ПО — модификация штамма .sZ40, обнаруженного в октябре 2020 года. Этот штамм, в свою очередь, связан с программой ThunderCrypt 2017 года.

Хакеры часто применяют тактику, известную как «двойной выкуп». После компрометации файлов шифруются сами устройства. Такой подход не позволяет жертве восстановить информацию с помощью резервных копий, избегая переговоров с преступниками.

Группа также известна как брокер начального доступа (initial access broker, IAB). Простыми словами, она продает доступ к корпоративным сетям атакованных компаний другим киберпреступникам.

оценивает уровень угрозы, исходящей от Lorenz, как «высокий», подчеркивая разрушительный характер их действий. Говорят, что хакеры используют особо изощренные методы, находя к каждой компании «особый подход».

Однако в 2023 году, несмотря на свою активность, Lorenz не попала ни в один в топ вымогательских группировок. За 10 месяцев на их сайте были опубликованы всего 16 жертв.

 
Сверху Снизу