Lynx Ransomware
Dentro del submundo cibercriminal surgen nuevos grupos día a día. Recientemente, ha emergido un nuevo grupo de ransomware llamado Lynx. Se tiene registro de esta agrupación desde julio de 2024, mes en el que empezaron a cometer ataques en contra de organizaciones de diferentes rubros.
Lynx sigue la tendencia de otros grupos de ransomware con técnicas de doble extorsión y, desde su aparición, ha reclamado numerosas víctimas, dando así prueba de su efectividad para propagarse. Además, el mismo grupo ha declarado tener una política estricta en la que sus objetivos son organizaciones gubernamentales, hospitales, organizaciones no lucrativas y otros sectores vitales de la sociedad. [1]
Cuando Lynx infecta un equipo, procede a filtrar los datos almacenados para usarlos en su táctica de doble extorsión, amenazando con filtrarlos si no se paga el rescate. Acto seguido, se encriptan los archivos con la extensión .LYNX y se cambia el fondo de pantalla con un texto que dicta el número de contacto, así como el aviso de que los datos han sido encriptados. Adicional a esto, se crea un archivo txt en el escritorio con el nombre README, conteniendo la misma información que el texto del fondo de pantalla. [2]
Imagen de la nota de rescate de LYNX ransomware
Imagen de los archivos encriptados
A diferencia de otras notas de rescate, la nota de LYNX es breve y concisa, algo no tan común debido a que otros grupos prefieren enriquecer el texto para generar miedo en la víctima y así poder tener más probabilidades de que pague el rescate por su información. No hay forma de desencriptar la información por el momento, ya que se usa un cifrado fuerte con métodos de encriptación AES y la generación de la llave de encriptación por medio de RSA. [2]
Este grupo ha tenido un acercamiento con otro llamado INC RANSOM, ya que, en mayo de 2024, un usuario en un foro de hacking estaba ofreciendo el código fuente del ransomware antes mencionado para las versiones Windows y Linux/ESXi por el precio de $300,000 dólares. Cuando LYNX empezó a actuar, se analizaron muestras de strings en su código de encriptación y, para sorpresa de muchos, este coincidía mucho con las muestras de strings del código de encriptación perteneciente a INC RANSOM, con unas ligeras variaciones, pero prácticamente eran iguales. [3]
Imagen comparativa de strings del código perteneciente a INC ransom y Lynx [3]
Indicadores de Compromiso:
|
Tipo |
Indicador de compromiso |
|
TOR |
http://lynxblogxstgzsarfyk2pvhdv45igghb4zmthnzmsipzeoduruz3xwqd.onion |
|
TOR |
http://lynxblogxutufossaeawlij3j3uikaloll5ko6grzhkwdclrjngrfoid.onion |
|
TOR |
http://lynxblogoxllth4b46cfwlop5pfj4s7dyv37yuy7qn2ftan6gd72hsad.onion |
|
TOR |
http://lynxblogmx3rbiwg3rpj4nds25hjsnrwkpxt5gaznetfikz4gz2csyad.onion |
|
TOR |
http://lynxch2k5xi35j7hlbmwl7d6u2oz4vp2wqp6qkwol624cod3d6iqiyqd.onion |
|
TOR |
http://lynxchatly4zludmhmi75jrwhycnoqvkxb4prohxmyzf4euf5gjxroad.onion |
|
Clearnet |
http://lynxblog.net |
|
|
|
|
SHA-256 |
eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- BROADCOM. (2024, Agosto 7) Lynx Ransomware. Recuperado el 28 de agosto del 2024 en: https://www.broadcom.com/support/security-center/protection-bulletin/lynx-ransomware
- Meskauskas, T. (2024, Agosto 2) Lynx (.LYNX) ransomware virus – removal and decryption options. Recuperado el 28 de agosto del 2024 en: https://www.pcrisk.com/removal-guides/30591-lynx-ransomware
- Gatlan, S. (2024, Agosto 7) McLaren hospitals disruption linked to INC ransomware attack. Recuperado el 28 de agosto del 2024 en: https://www.bleepingcomputer.com/news/security/mclaren-hospitals-disruption-linked-to-inc-ransomware-attack/
.jpg)
