Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Lorenz Ransomware Campaign

Lorenz Ransomware Campaign

campana campaign

Lorenz Ransomware Campaign

Lorenz Ransomware Campaign

Resumen de la Campana

Lorenz es un grupo de ransomware que operó en el mercado criptográfico entre 2024 y 2026. La campaña se caracterizó por una estrategia de ataque que combinaba técnicas de escaneo automatizado, explotación de vulnerabilidades en sistemas heredados y uso de herramientas de recuperación de datos para recuperar información crítica antes del pago.

Objetivos

  • Obtener acceso a sistemas críticos como bases de datos financieras e información médica
  • Recuperar datos de clientes mediante herramientas de backup que el ataque autorizado
  • Eliminar firmas de antivirus y protocolos de seguridad para evitar detección futura
  • Reiniciar la infraestructura comprometida con malware sin detectar los cambios

Tacticas

  1. Escaneo automatizado: Utilización de herramientas como Nmap y Metasploit para identificar sistemas vulnerables en redes corporativas.
  2. Explotación de CVEs conocidas: Exploitación de múltiples vulnerabilidades en versiones antiguas de software empresarial, incluyendo servidores web, aplicaciones móviles y plataformas ERP.
  3. Inyección SQL: Ejecución directa de consultas SQL para acceder a bases de datos sin autenticación o mediante credenciales derivadas del entorno de producción.
  4. Catastrofe de datos: Eliminación manual de backups críticos que contienen información financiera y médica antes de la ejecución final del ransomware.

Indicadores de Compromiso (IOCs)

Tipo Valor/URL Contexto
Herramienta de ataque nmap Filtro de escaneo automático para detectar infraestructura vulnerable
Herramienta de ataque metasploit-framework Exploitación de CVEs en servidores web y aplicaciones móviles
Tipo de malware Lorenz Ransomware Software criptográfico que bloquea acceso a datos con clave de cifrado

Impacto

La operación Lorenz generó daños significativos a múltiples entidades, incluyendo empresas financieras y hospitales.

  • Sistemas financieros: Pérdida de acceso completo a bases de datos bancarias con miles de transacciones críticas bloqueadas permanentemente.
  • Información médica: Bloqueo de registros médicos sensibles que afectaron la continuidad del cuidado para pacientes hospitalizados.

El impacto operacional se extendió durante un periodo prolongado, requiriendo esfuerzos intensos de recuperación que involucraron múltiples equipos técnicos y coordinación externa con servicios de recuperación de datos.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me