Закон кибербумеранга: вымогательская группа Lorenz стала жертвой своей же утечки

Группа вымогателей Lorenz непреднамеренно раскрыла данные всех людей, которые пытались связаться с ней через онлайн-форму на темном сайте в течение последних двух лет. Среди этих данных — имена, email-адреса и темы запросов.

Проблему обнаружил исследователь безопасности, известный под псевдонимом Htmalgae. Он зафиксировал утечку бэкэнд-кода и опубликовал извлеченные сведения на GitHub .

Причиной инцидента стала ошибка в настройках веб-сервера Apache2 со стороны команды Lorenz.

«Кто-то из Lorenz допустил ошибку в настройках веб-сервера Apache2. Это привело к утечке раскрытию формы авторизации», — объясняет Htmalgae. «Эта утечка, пожалуй, одна из самых простых, которые я когда-либо находил. Я обнаружил неисправную форму обратной связи Lorenz во время ежедневной проверки вымогательских сайтов. Мне достаточно было просмотреть исходный код страницы и скопировать адрес утекшего файла».

Htmalgae также уточнил, что Lorenz временно закрыли доступ к своей контактной форме, но основная проблема «так и осталась нерешенной». Сайт по-прежнему функционирует, пользователи могут отправлять запросы (хотя до хакеров они уже не доходят).

Сам факт утечки может подорвать репутацию группы в киберкриминальном мире и привести к арестам.

Lorenz впервые появилась на радаре экспертов в 2021 году. Есть версия, что их вымогательское ПО — модификация штамма .sZ40, обнаруженного в октябре 2020 года. Этот штамм, в свою очередь, связан с программой ThunderCrypt 2017 года.

Хакеры часто применяют тактику, известную как «двойной выкуп». После компрометации файлов шифруются сами устройства. Такой подход не позволяет жертве восстановить информацию с помощью резервных копий, избегая переговоров с преступниками.

Группа также известна как брокер начального доступа (initial access broker, IAB). Простыми словами, она продает доступ к корпоративным сетям атакованных компаний другим киберпреступникам.

Cybereason оценивает уровень угрозы, исходящей от Lorenz, как «высокий», подчеркивая разрушительный характер их действий. Говорят, что хакеры используют особо изощренные методы, находя к каждой компании «особый подход».

Однако в 2023 году, несмотря на свою активность, Lorenz не попала ни в один в топ вымогательских группировок. За 10 месяцев на их сайте были опубликованы всего 16 жертв.