Lorenz 勒索病毒对医疗行业构成威胁

主要要点

Lorenz 勒索病毒针对医疗行业发起攻击，要求高额赎金。该团伙在过去两年中活跃，其攻击手法日益复杂。警告指出，企业需要加强防御措施，保护关键攻击向量。

根据美国卫生与公众服务部HHS的警告，Lorenz 勒索病毒团伙已经对医疗行业造成了威胁。卫生与公众服务部的网络安全协调中心HC3发出警告，提醒大型医疗组织注意这一潜在的网络安全风险。

该团伙以人操作的形式运作，主要针对大型组织，并已在医疗及公共卫生领域造成了多起受害事件。此次警报发布后不久，HC3 还针对Hive 勒索病毒攻击行动对医疗机构构成的严重威胁发出警告。同时，HC3 还提到一种名为Venus 勒索病毒的新组织，自八月以来已经对至少一家美国医疗机构展开攻击，主要针对暴露的远程桌面服务RDP。

根据开放源报告，Venus 勒索的要求起价在 1 BTC不到 20000，而 Lorenz 团伙的要求则在 500000 到 700000 之间。该团伙还因贩售被害者网络的访问权而闻名。

运作模式及影响

Lorenz 已经活跃了至少两年，并运营一个数据泄露网站，这符合典型的勒索团伙模型。HC3 警告称，该团伙在受害者拒绝支付赎金后，先会将被盗数据出售给其他威胁行为者或竞争对手。如果此举未能促成支付，Lorenz 将发布受害者数据的密码保护 RAR 文件。如果这些手段仍然未能带来金钱收益，团伙将公开“完整档案的密码”，使任何人都能访问。

这种模式在像最近对MediBank澳大利亚最大健康保险公司进行的攻击和数据泄露事件中，可能导致严重后果。

定制与攻击路径

Lorenz 利用专门定制的可执行代码攻击受害者，HC3 指出，这种策略表明攻击者会在部署勒索病毒之前，进行长时间的侦察。从通常的攻击模式来看，首步是获取初始访问权限，接着进行侦察和横向移动，最终到达与 Windows 域控制器相连接的设备，以获取管理员凭证。其代码还允许多个程序线程共享资源，同时防止多实例并发运行。

蚂蚁加速安卓

每个被加密的文件都使用随机生成的密码，而加密密钥则通过 CryptDeriveKey 函数生成。

警告还显示，在某一观察实例中，Lorenz 团伙通过利用 MiVoice Connect 的 Mitel Service Appliance 组件的漏洞CVE202229499进行了攻击。

建议的防御措施

与其他团伙相比，关于 Lorenz 的信息相对较少。但 HC3 解释称，已经识别出的指标可用于检测、减轻和防御机制。

卫生与公众服务部敦促大型企业加强以下四个主要攻击向量的防御： 网络钓鱼攻击 利用已知漏洞的攻击 远程访问技术，特别是 RDP 分布式网络攻击，尤其是供应链和管理服务提供商的妥协

此外，HC3 警报中包含了 IO 指标清单，以供组织审查和响应。