El
Informe de Radar de Ransomware, Rapid7 Labs compartió la observación de que
en la primera mitad de 2024, surgieron 21 grupos de ransomware nuevos o
renombrados.
El grupo de ransomware Lynx fue identificado en julio de 2024 y hasta la fecha
se ha cobrado más de 20 víctimas en varios sectores de la industria. El grupo
utiliza técnicas de extorsión simple y doble contra sus víctimas; sin embargo,
afirman ser «éticos» a la hora de elegir a las víctimas, según su comunicado
de prensa del 24 de julio:
«La motivación principal de Lynx Ransomware se basa en incentivos
financieros, con una clara intención de evitar daños indebidos a las
organizaciones. Reconocemos la importancia de las consideraciones éticas en
la búsqueda de ganancias financieras y mantenemos una política estricta
contra las instituciones gubernamentales, hospitales u organizaciones sin
fines de lucro, ya que estos sectores desempeñan papeles vitales en la
sociedad».
Cuando una víctima ha sido atacada, el archivo «readme.txt» aparece en
los escritorios y contiene el enlace al sitio Tor de Lynx y la identificación
necesaria para ingresar a su portal de rescate:
Junto con el portal para que las víctimas,, el grupo alberga un blog público y
también una página de filtraciones donde se muestra a las víctimas en un
intento de exigir el pago.
Algunos rumores afirman que el grupo Lynx ha comprado el código fuente de otro
grupo conocido como INC ransomware. Al realizar una diferencia binaria en las
muestras de ransomware Lynx e INC, los resultados generales muestran una
puntuación de similitud del 48 por ciento, donde las funciones tienen una
puntuación del 70,8 por ciento. Según las diferencias y algunas otras
comparaciones, existen superposiciones en funciones y argumentos, pero no
serían suficientes para demostrar completamente que Lynx se derivó del código
fuente del ransomware INC.
Si bien el grupo de ransomware Lynx dice que adopta una postura «ética», no
existe ningún escenario en el que atacar y extorsionar a las víctimas pueda
verse de esa manera. Los ataques agresivos de Lynx y sus tácticas de doble
extorsión los convierten en una amenaza a tener en cuenta. Dado que las
funciones del ransomware Lynx e INC se superponen, la posibilidad de que el
código fuente se comparta y evolucione entre los grupos de ransomware sigue
siendo una preocupación crítica para los defensores.
1.Gestión de Procesos y Servicios
El ransomware intenta eliminar varios procesos y servicios del sistema
utilizando métodos como RestartManager. Se dirige específicamente a servicios
que podrían obstaculizar el proceso de cifrado, como los servicios
relacionados con copias de seguridad.
Enumera y detiene servicios y procesos dependientes, utilizando API del
sistema como EnumDependentServicesW y ControlService.
Además, el ransomware tiene varias opciones de línea de comando para ejecutar:
2.Eliminación de instantáneas
Un objetivo principal de este ransomware es eliminar instantáneas de volumen,
que a menudo se utilizan para restaurar datos. Se utiliza vssadmin u
otros comandos similares para garantizar que se eliminen los archivos de copia
de seguridad.
3.Cifrado de archivos
Cifra archivos en todo el sistema, incluidos recursos compartidos de red y
unidades. El ransomware puede centrarse en carpetas o tipos de archivos
específicos, aumentando su precisión.
También existe la posibilidad de cifrar solo archivos, directorios o recursos
compartidos de red seleccionados según la configuración.
Fuente: Rapid7
Los comentarios están cerrados.