Ransomware Lorenz: il gruppo "perde per strada" i dati delle vittime

Che i cybercriminali siano personaggi scaltri e temibili è risaputo. A volte, però, così come tutti noi esseri umani, possono anche andare incontro a clamorosi fallimenti.

Quanto appena detto viene confermato da quanto successo al gruppo ransomware Lorenz che, a causa di un errore, ha fatto trapelare i dati di tutte le persone coinvolte nei loro attacchi.

Questa clamorosa scoperta è stata fatta da un ricercatore di sicurezza che ha notato come il blog sul Dark Web appartenente ai cybercriminali presentava del codice esposto. In questo modo, per l’esperto (ma potenzialmente non solo per lui) è stato facile estrarre i dati presenti sul sito.

Le informazioni in questione includono nomi, indirizzi e-mail e altri dati personali. A conferma che le informazioni sono veritiere, The Register ha contattato alcuni dei nomi nella lista, avendo conferma che questi erano stati coinvolti, loro malgrado, nella campagna ransomware.

Le voci di dati incluse nella fuga di notizie risalgono al 3 giugno 2021 e terminano il 17 settembre 2023, data in cui il modulo di contatto ha smesso di funzionare.

Ransomware Lorenz: i dati andati persi a causa di una configurazione sbagliata del server

La società di sicurezza Cybereason aveva precedentemente affermato che il collettivo dietro a Lorenz è stato osservato per la prima volta nel febbraio 2021, il che significa che i dati trapelati coprono quasi l’intero periodo di esistenza del gruppo.

Htmalgae, il referente online del ricercatore  che ha trovato e pubblicato la fuga di notizie, ha dichiarato in esclusiva a The Register che la fuga di notizie era dovuta a un server Apache2 mal configurato. “A un certo punto, nel corso dell’ultimo mese, qualcuno del gruppo Lorenz ha configurato erroneamente il proprio server web Apache2, causando la perdita di codice PHP dal modulo di accesso. Probabilmente è stata una delle fughe di notizie più facili che ho scoperto finora“.

Lo stesso ha poi aggiunto come “Durante la mia esplorazione quotidiana di tutti i siti di ransomware, mi sono imbattuto nel modulo di contatto non funzionante di Lorenz. È stato davvero semplice  visualizzare la fonte sulla pagina e copiare- incollando il percorso del file trapelato. Me lo sono trovato praticamente tra le braccia, non avevo nemmeno bisogno di fare una scansione delle vulnerabilità“.

Htmalgae ha poi confermato come i cybercriminali abbiano chiuso l’accesso al modulo (ancora presente ma non più funzionante), pur non risolvendo del tutto i problemi di configurazione del server.

Va detto che, molti dei dati trapelati, riguardano identità mascherate dietro nomi falsi, ma non mancano alcune eccezione. Secondo il ricercatore, infatti, si parla di diversi giornalisti, operatori finanziari e persino alcuni suoi colleghi, ovvero ricercatori nel campo della sicurezza informatica.