Lynx ransomware es un nuevo ransomware como servicio (RaaS) que surgió alrededor de julio y se deriva del código fuente de INC Ransom, que supuestamente se vendió en mayo, según múltiples análisis de las acciones de Lynx.
La pandilla Lynx opera sitios de filtración tanto en la web clara como en la web oscura y se ha cobrado más de 20 víctimas desde su primera aparición, según un análisis de la Unidad 42 de Nextron Systems y Palo Alto Networks publicado esta semana.
Hasta ahora, Unit 42 informa que el grupo RaaS se ha dirigido a víctimas en el comercio minorista, el sector inmobiliario, la construcción, los servicios financieros y los servicios ambientales en los EE. UU. y el Reino Unido, y el sitio web dice que no se ha dirigido a agencias gubernamentales ni a hospitales. no. Organización sin fines de lucro.
La relación entre Lynx e INC Ransom fue revelada previamente por Rapid7, que analizó por primera vez el ransomware en septiembre. Rapid7 y Unit 42 realizaron análisis de diferencias binarias en las cepas Lynx e INC Ransom y encontraron que la similitud general entre las dos versiones fue del 48%, y específicamente la similitud funcional fue del 70,8%.
Rapid7 opinó que esta comparación “no es suficiente para probar definitivamente que Lynx se deriva del código fuente del ransomware INC”, y la Unidad 42 afirmó que la superposición en la funcionalidad “no es suficiente para probar que Lynx se deriva del código fuente del ransomware INC”. ” “Esto sugiere fuertemente que los desarrolladores tomaron prestadas y reutilizaron porciones importantes del ransomware INC.” base de código. “
Según se informa, el código fuente de INC Ransom se puso a la venta en mayo por 300.000 dólares e incluía versiones del ransomware para Windows y Linux/ESXi. El rescate del INC, que apareció por primera vez en agosto de 2023, se ha cobrado al menos 64 víctimas y con frecuencia se dirige a organizaciones de atención médica, incluidos los operadores de hospitales oncológicos de McLaren Healthcare y City of Hope y las organizaciones de investigación clínica.
En la supuesta venta se incluyó una versión para Linux del ransomware INC, pero aún no se ha descubierto dicha versión del ransomware Lynx. La Unidad 42 informó haber encontrado muestras de ransomware Lynx e INC en julio y agosto de 2024, y solo muestras de Lynx en septiembre de 2024.
El propio ransomware Lynx incluye la finalización de procesos y servicios que contienen términos como “sql”, “veeam”, “backup”, “java”, “exchange”, etc., al habilitar “SeTakeOwnershipPrivilege” en el proceso actual. Incorpora varias técnicas. , incluida la escalada de privilegios. Según Nextron, la eliminación de tokens y de instantáneas se produce a través de DeviceIoControl.
La Unidad 42 informa que el ransomware utiliza AES-128 en modo CTR y el algoritmo de cifrado Curve25519 Donna para cifrar archivos y también utiliza la API del Administrador de reinicio “RstrtMgr” para habilitar el cifrado de archivos bloqueados por otras aplicaciones. Los archivos cifrados tienen la extensión de archivo .lynx.
La nota de rescate de Lynx indica a las víctimas que instalen el navegador Tor y se comuniquen con el actor de la amenaza, proporcionando la dirección del sitio web oscuro del grupo y una identificación de la víctima que puede usarse para iniciar sesión en el sitio filtrado.
Según Nextron Systems, una de las características únicas de Lynx es que incluye la capacidad de imprimir una nota de rescate en una impresora conectada a un sistema comprometido. Primero usa EnumPrintersW para obtener la lista de impresoras conectadas, luego usa StartDocPrinterW y StartPagePrinter para iniciar el proceso de impresión del documento de nota de rescate y luego usa WritePrinter para completar la impresión.
https://packetstormsecurity.com/news/view/36468/Lynx-Ransomware-Analyses-Reveal-Similarities-To-INC-Ransom.html
