Lynx ransomware elemzése
A ransomware továbbra is az egyik legjövedelmezőbb kiberfenyegetés, amelynek új változatai és üzleti modelljei gyorsabban fejlődnek, mint ahogyan sok szervezet reagálni tudna ezekre a változásokra. A Ransomware-as-a-Service (RaaS) elterjedése, az ellopott adatok elterjedése a Dedicated Leak Sites (DLS) oldalakon, valamint a partnerek által irányított műveletek növekedése miatt ezek a támadások egyre elterjedtebbé és kifinomultabbá váltak.
A Lynx RaaS csoport kiemelkedik a rendkívül szervezett platformjával, strukturált partnerprogramjával és robusztus titkosítási módszereivel. A Group IB blogjában betekintést nyújt a Lynx affiliate panelébe, belső kommunikációjába és technikai arzenáljába, feltárva, hogyan szervezi a csoport a ransomware támadásokat és hogyan kezeli az áldozatokat.
A Lynx RaaS modellen keresztül működik, pentestereket és access brókereket toboroz, hogy behatoljanak a célzott hálózatokba. Amint jogosultságot szereznek, az affiliate csoportok kiszivárogtatják az érzékeny információkat, mielőtt telepítenék a zsarolóvírust, titkosítják a fájlokat különböző platformokon, miközben letiltják a kritikus helyreállítási mechanizmusokat, például az shadow copy-kat és a volume pillanatképeket. Ez a kettős zsarolási stratégia maximalizálja az áldozatokra nehezedő nyomást, mivel az ellopott adatokat a váltságdíj-tárgyalások során felhasználják.
A Lynx ransomware Windows és Linux verzióban is elérhető. Jellemzői a zsarolóvírusok vonatkozásában viszonylag standardnak mondhatók, és tipikus viselkedést mutatnak, amelyet más hasonló fenyegetéseknél is láthatunk. A használt fájlkiterjesztés a „.LYNX”, amelyet a titkosított fájlokhoz csatolnak. A Palo Alto korábban már beszámolt arról, hogy a Lynx ransomware Windows verziója nagyon hasonlít az INC ransomware-re, ami arra utal, hogy az INC forráskódját vásárolhatták meg. A Lynx elemzett Linux-verziójának jellemzői is erős hasonlóságot mutattak az INC-vel. A Group IB összehasonlította a Lynx-et az INC ransomware Linux ESXI verziójával a BinDiff segítségével. A 2 minta között összesen 147 nem könyvtári funkció egyezése volt, ami nagyjából > 91%-os átfedést jelent. Az általános hasonlóság 87%-os volt, 98%-os megbízhatósággal.
