Ransomware Lynx
El grupo de ransomware Lynx empezó su actividad desde finales del 2024 y gano notoriedad rápidamente debido a su enfoque selectivo al atacar a sus víctimas. Desde sus inicios, se ha caracterizado por una evolución constante tanto en sus tácticas como en su infraestructura, lo que demuestra un claro dominio de técnicas avanzadas de persistencia, evasión y cifrado.
Este grupo se ha enfocado en atacar principalmente a empresas grandes, especialmente en sectores como de Manufactura, Tecnología, Transporte, Servicios empresariales y Agricultura. A diferencia de otros grupos que lanzan ataques masivos sin importar analizar a la víctima, Lynx se ha caracterizado por planear muy bien a quién va a atacar, buscando víctimas que puedan pagar grandes cantidades.
Entre los países más atacados por Lynx se encuentra Estados Unidos que es su principal víctima con más de 128 victimas detectadas hasta el momento, también Reino Unido, Canadá, Australia y Alemania son los principales países atacado por esta amenaza, pero su número de victima son significativamente menos que Estados Unidos.
[1] Grafica de Top 5 países más atacados por el ransomware Lynx
Durante su primera etapa de ataque se ha detectado que esta amenaza optaba por distribución de campañas de phishing altamente personalizadas como vector de acceso inicial, distribuyendo archivos maliciosos y enlaces que redirigían a sitios comprometidos. También se ha descubierto que este ransomware explota vulnerabilidades y credenciales comprometidas como vector de acceso y una vez que obtienen acceso, se mueven lateralmente por la red sin levantar sospechas para pasar desapercibidos por el sistema de seguridad.
Esta amenaza también busca eliminar y detener todos los procesos que se estén ejecutando en el sistema para facilitar el cifrado de la información y también ayuda a disminuir el tiempo de eliminación de las copias de seguridad. Después de realizar movimientos laterales para obtener privilegios, buscan información crítica de la víctima para continuar a cifrarla y exfiltrarla. Estás son técnicas y tácticas que comúnmente Lynx utiliza en sus ataques, pero también se ha detectado que utiliza herramientas como limpiadores y puertas traseras como partes de sus técnicas de ataque, pero estas no son comunes en la mayoría de sus ataques. Una vez exfiltrada y cifrada la información el ransomware deja una nota de rescate en donde les informa a sus víctimas que sus datos están comprometidos, también la nota incluye la forma de comunicación con el grupo para realizar el pago de rescate y evitar que su información sea publicada en su sitio de filtración.
[2] Sitio de filtración del Ransomware Lynx
Esto demuestra que este ransomware con casi un año en actividad se ha convierte en una de las amenazas más serias dentro del mundo del ransomware y su historial muestra cómo los grupos de este tipo pueden evolucionar rápidamente y adaptarse a los métodos de defensas que utilizan sus víctimas para protegerse.
Taxonomía MITRE ATT&CK
|
Táctica |
ID de la técnica |
Nombre |
|
Initial Access |
T1566.001 |
Spearphishing Attachment |
|
T1566.002 |
Spearphishing Link |
|
|
T1078.002 |
Default Accounts |
|
|
Execution |
T1059.001 |
PowerShell |
|
T1059.003 |
Windows Command Shell |
|
|
T1204.002 |
Malicios File |
|
|
T1569.002 |
Service Execution |
|
|
Persistence |
T1053.005 |
Scheduled Task |
|
T1547.001 |
Registry Run Keys / Startup Folder |
|
|
Privilege Escalation |
T1134 |
Access Token Manipulation |
|
T1068 |
Exploitation for Privilege Escalation |
|
|
Defense Evasion |
T1027 |
Obfuscated Files or Information |
|
T1036.005 |
Match Legitimate Name or Location |
|
|
T1070.001 |
Clear Windows Event Logs |
|
|
T1070.004 |
File Deletion |
|
|
T1497.001 |
Environmental Keying |
|
|
T1548.002 |
Bypass User Account Control |
|
|
T1562.001 |
Disable or Modify Tools |
|
|
Discovery |
T1083 |
File and Directory Discovery |
|
T1057 |
Process Discovery |
|
|
T1049 |
System Network Connections Discovery |
|
|
T1087 |
Account Discovery |
|
|
Lateral Movement |
T1021.002 |
Remote Services: SMB/Windows Admin Shares |
|
T1080 |
Taint Shared Content |
|
|
Exfiltration |
T1041 |
Exfiltration Over C2 Channel |
|
Impact |
T1486 |
Data Encrypted for Impact |
|
T1490 |
Inhibit System Recovery |
|
|
T1491.001 |
Internal Defacement |
|
|
T1489 |
Service Stop |
|
|
T1657 |
Financial Theft |
Indicadores de compromiso
|
IOC |
Tipo |
|
74ae58a716aa834949388ee1574788e0 |
FileHash-MD5 |
|
7e851829ee37bc0cf65a268d1d1baa7a |
FileHash-MD5 |
|
d70e82645b7f47adbcdddcb1f363afb1 |
FileHash-MD5 |
|
d972bbbb3edb0e5ab5751b911f3dda17 |
FileHash-MD5 |
|
2424cf1f1c612c548345023db1a44d91dd3bf942 |
FileHash-SHA1 |
|
672553c79db2a3859a8ea216804d4ff8d2ded538 |
FileHash-SHA1 |
|
c139643a7d3df696715ce6de894802e0872ee199 |
FileHash-SHA1 |
|
c632223f5f7a8a469bbf07eb017863bb83564b84 |
FileHash-SHA1 |
|
09c5ff735d3d7b8c47b4df7de35e1c72b530b2c2566628bc29aaa54feb4d89f4 |
FileHash-SHA256 |
|
571f5de9dd0d509ed7e5242b9b7473c2b2cbb36ba64d38b32122a0a337d6cf8b |
FileHash-SHA256 |
|
85699c7180ad77f2ede0b15862bb7b51ad9df0478ed394866ac7fa9362bf5683 |
FileHash-SHA256 |
|
b378b7ef0f906358eec595777a50f9bb5cc7bb6635e0f031d65b818a26bdc4ee |
FileHash-SHA256 |
|
eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc |
FileHash-SHA256 |
|
ecbfea3e7869166dd418f15387bc33ce46f2c72168f571071916b5054d7f6e49 |
FileHash-SHA256 |
|
092d39b97288886203fa681bb354cca3 |
FileHash-MD5 |
|
11e9571b4db3772d86ede4a8af1913ac |
FileHash-MD5 |
|
12048b087544205efda36b5f6ae29fec |
FileHash-MD5 |
|
1922a47e467e4185eea0bb003e813dde |
FileHash-MD5 |
|
1fb412212359a970be06b9a4578c1e68 |
FileHash-MD5 |
|
2561b0e8df695e72d17367257d89b52e |
FileHash-MD5 |
|
267bec0f845b4f49610cfe695b63c5f6 |
FileHash-MD5 |
|
2a404aadbcf8ff04b43db1da12a6dd80 |
FileHash-MD5 |
|
2cd3dac4b0d7eadb7746246ea86575fa |
FileHash-MD5 |
|
463c87af15f9b2dca8068028ed1d83e7 |
FileHash-MD5 |
|
485573e162551f66f776923126e5b5ff |
FileHash-MD5 |
|
5ebad3f068d50dbe65d541908ab1a087 |
FileHash-MD5 |
|
663cc36be63be8ec3c626b8d91f04c23 |
FileHash-MD5 |
|
6d58562129f8dbd8ca14d1e7f8d3f574 |
FileHash-MD5 |
|
79803779790dae11cbbef6500dc53391 |
FileHash-MD5 |
|
9adde343f1b073cd9bbb22c33d31ec4a |
FileHash-MD5 |
|
c27dc6e74a7245368dbe1853d6631eb4 |
FileHash-MD5 |
|
C6B6543EF258058049B0322CA8B59FD5 |
FileHash-MD5 |
|
c6cdd8f3340586620e663236141dc013 |
FileHash-MD5 |
|
cdf99b5e56d59aa1b1b04758729a702a |
FileHash-MD5 |
|
d18ef5a6c2bd443864132e5c7feb0c2f |
FileHash-MD5 |
|
e402c9df4aab1d1cff83ec8ba11a4bc7 |
FileHash-MD5 |
|
f934aa09fcf6be09d36a789b9a8aef4e |
FileHash-MD5 |
|
0394aaba2d7fb99ad936fba3610ffd59c98638b5 |
FileHash-SHA1 |
|
04cf901ac8eec27c6cf01d8a6426ea33d3742c69 |
FileHash-SHA1 |
|
1410c2f60840066d34f48a4be5e7e0a8126117ab |
FileHash-SHA1 |
|
3a3a20e1207a6e4518c9e363a98bce36bd94f7b8 |
FileHash-SHA1 |
|
3abe01b97582242b7018d20371bb0f803fc02451 |
FileHash-SHA1 |
|
447dcfdc05a5c4aaf0192cf007c31a579bbd570e |
FileHash-SHA1 |
|
4641542aae46dc51a4db98a23693c15a37742075 |
FileHash-SHA1 |
|
4a34764809f4a95d87e98abb834721be41060a6b |
FileHash-SHA1 |
|
65717fff01fafc65e5d7d412168df8f818a0bff9 |
FileHash-SHA1 |
|
8f595627e9e4c726ff85fab2d589de599d695437 |
FileHash-SHA1 |
|
913b9b095c37f2e17f472b8df92224560f60773e |
FileHash-SHA1 |
|
9b7e46195d23b5efcd9f176c278e7a873138f6f5 |
FileHash-SHA1 |
|
A330BB81A31061B5B06D8610B828B2E5921FD03B |
FileHash-SHA1 |
|
b31f2a0c32d5035aacc95ab0194ad8d4934fffbf |
FileHash-SHA1 |
|
baa44b68d92836d9005c6829d6d4891d39e1471d |
FileHash-SHA1 |
|
C0C039402183879CFAEEC65002A967B5241A8963 |
FileHash-SHA1 |
|
c1f4507c3f8eb24279e0b47a1523500e62cb0764 |
FileHash-SHA1 |
|
cd0228e52de03fc2423e22df9840ba5dc707c4b4 |
FileHash-SHA1 |
|
e757fd61ea7c462d69581a5ba3b4d7764fe1f2b8 |
FileHash-SHA1 |
|
efa771d6f699c7240c80260d50925ed8baae3cdc |
FileHash-SHA1 |
|
effc6299e167159203dc74438f7703ae5aac0f9d |
FileHash-SHA1 |
|
FA739443CD80D8D01DC185F09398A272B13B5920 |
FileHash-SHA1 |
|
fbd1e52dfd205d0f91752f58543f8a530f77aab6 |
FileHash-SHA1 |
|
02472036db9ec498ae565b344f099263f3218ecb785282150e8565d5cac92461 |
FileHash-SHA256 |
|
05e4f234a0f177949f375a56b1a875c9ca3d2bee97a2cb73fc2708914416c5a9 |
FileHash-SHA256 |
|
11cfd8e84704194ff9c56780858e9bbb9e82ff1b958149d74c43969d06ea10bd |
FileHash-SHA256 |
|
1754c9973bac8260412e5ec34bf5156f5bb157aa797f95ff4fc905439b74357a |
FileHash-SHA256 |
|
1a7c754ae1933338c740c807ec3dcf5e18e438356990761fdc2e75a2685ebf4a |
FileHash-SHA256 |
|
29a25e971dbb87d3adcee75693782d978a3ca9f64df0a59b015ca519a4026c49 |
FileHash-SHA256 |
|
3156ee399296d55e56788b487701eb07fd5c49db04f80f5ab3dc5c4e3c071be0 |
FileHash-SHA256 |
|
36e3c83e50a19ad1048dab7814f3922631990578aab0790401bc67dbcc90a72e |
FileHash-SHA256 |
|
508a644d552f237615d1504aa1628566fe0e752a5bc0c882fa72b3155c322cef |
FileHash-SHA256 |
|
63e0d4e861048f581c9e5c64b28a053eb0023d58eebf2b943868d5f68a67a8b7 |
FileHash-SHA256 |
|
64b249eb3ab5993e7bcf5c0130e5f31cbd79dabdcad97268042780726e68533f |
FileHash-SHA256 |
|
7f104a3dfda3a7fbdd9b910d00b0169328c5d2facc10dc17b4378612ffa82d51 |
FileHash-SHA256 |
|
869d6ae8c0568e40086fd817766a503bfe130c805748e7880704985890aca947 |
FileHash-SHA256 |
|
9ac550187c7c27a52c80e1c61def1d3d5e6dbae0e4eaeacf1a493908ffd3ec7d |
FileHash-SHA256 |
|
a0ceb258924ef004fa4efeef4bc0a86012afdb858e855ed14f1bbd31ca2e42f5 |
FileHash-SHA256 |
|
c41ab33986921c812c51e7a86bd3fd0691f5bba925fae612f1b717afaa2fe0ef |
FileHash-SHA256 |
|
ca9d2440850b730ba03b3a4f410760961d15eb87e55ec502908d2546cd6f598c |
FileHash-SHA256 |
|
d147b202e98ce73802d7501366a036ea8993c4c06cdfc6921899efdd22d159c6 |
FileHash-SHA256 |
|
e17c601551dfded76ab99a233957c5c4acf0229b46cd7fc2175ead7fe1e3d261 |
FileHash-SHA256 |
|
ee1d8ac9fef147f0751000c38ca5d72feceeaae803049a2cd49dcce15223b720 |
FileHash-SHA256 |
|
f96ecd567d9a05a6adb33f07880eebf1d6a8709512302e363377065ca8f98f56 |
FileHash-SHA256 |
|
fcefe50ed02c8d315272a94f860451bfd3d86fa6ffac215e69dfa26a7a5deced |
FileHash-SHA256 |
|
fef674fce37d5de43a4d36e86b2c0851d738f110a0d48bae4b2dab4c6a2c373e |
FileHash-SHA256 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Gayvoronsky, S. (2025, Julio 13). Lynx – Malware Trends Tracker by ANY.RUN. Lynx | Malware Trends Tracker. Recuperado el 15 de julio de 2025, en: https://any.run/malware-trends/lynx/
- Özeren, S. (2025, Febrero 06). Lynx Ransomware: Exposing How INC ransomware rebrands itself. Picus Security. Recuperado el 15 de julio de 2025, en: https://www.picussecurity.com/resource/blog/lynx-ransomware
- Chhaparwal, P. K., Yates, M., & Chang, B. (2024, Octubre 10). Lynx Ransomware: A Rebranding of INC Ransomware. Unit 42. Recuperado el 15 de julio de 2025, en: https://unit42.paloaltonetworks.com/inc-ransomware-rebrand-to-lynx/
