Το Lynx ransomware έχει αναδειχθεί ως σημαντική απειλή για τα εταιρικά περιβάλλοντα, με πρόσφατες εισβολές να επιδεικνύουν εξελιγμένες στρατηγικές επίθεσης που δίνουν προτεραιότητα στην εξαγωγή δεδομένων και την καταστροφή της υποδομής.
Η καμπάνια κακόβουλου λογισμικού συνδυάζει διαπιστευτήρια σε κίνδυνο με προσεκτικό σχεδιασμό για τη διασφάλιση του μέγιστου αντίκτυπου στα δίκτυα-στόχους.
Οι ερευνητές ασφαλείας συνεχίζουν να παρακολουθούν αυτήν την εξελισσόμενη απειλή καθώς οι εισβολείς βελτιώνουν τις τεχνικές τους και επεκτείνουν το εύρος στόχευσης σε διάφορους κλάδους.
Η αλυσίδα επιθέσεων αποκαλύπτει μια μεθοδική προσέγγιση όπου οι φορείς απειλών αποκτούν αρχική πρόσβαση μέσω διαπιστευτηρίων πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας, που πιθανότατα προέρχονται από κακόβουλο λογισμικό πληροφορικής, παραβιάσεις δεδομένων ή μεσίτες αρχικής πρόσβασης.
Αυτό που διακρίνει αυτήν την καμπάνια είναι η εκτεταμένη φάση προετοιμασίας πριν από την ανάπτυξη ransomware. Οι επιτιθέμενοι περνούν μέρες πραγματοποιώντας αναγνωρίσεις, χαρτογραφώντας την υποδομή δικτύου και εγκαθιστώντας επίμονες κερκόπορτες αντί να σπεύδουν να κρυπτογραφήσουν τα συστήματα αμέσως.
Αυτή η υπολογισμένη προσέγγιση αυξάνει σημαντικά τις πιθανότητες επιτυχίας τους εντοπίζοντας στόχους υψηλής αξίας και εξασφαλίζοντας οδούς διαφυγής πριν ενεργοποιηθούν οι συναγερμοί ανίχνευσης.
Οι αναλυτές ασφαλείας της έκθεσης DFIR αναγνωρισθείς ότι η εισβολή ξεκίνησε στις αρχές Μαρτίου του 2025, όταν ένας άγνωστος παράγοντας απειλής συνδέθηκε με επιτυχία σε ένα τελικό σημείο RDP που αντιμετωπίζει το Διαδίκτυο χρησιμοποιώντας έγκυρα διαπιστευτήρια.
Σημειωτέον, δεν προηγήθηκε αυτής της πρόσβασης κανένα στοιχείο γεμίσματος διαπιστευτηρίων ή απόπειρες ωμής βίας, υποδεικνύοντας ότι οι εισβολείς διέθεταν νόμιμα διαπιστευτήρια λογαριασμού από την αρχή.
Μέσα σε λίγα λεπτά από την αρχική πρόσβαση, ο παράγοντας απειλής άρχισε να πραγματοποιεί αναγνώριση συστήματος χρησιμοποιώντας βοηθητικά προγράμματα γραμμής εντολών και ανέπτυξε το SoftPerfect Network Scanner για ευρύτερη απαρίθμηση δικτύου.
Η επίθεση εξελίχθηκε γρήγορα καθώς ο παράγοντας απειλής μετακινήθηκε πλευρικά στον ελεγκτή τομέα μέσα σε μόλις δέκα λεπτά χρησιμοποιώντας έναν ξεχωριστό παραβιασμένο λογαριασμό διαχειριστή.
.webp.jpeg)
Μόλις τοποθετηθεί στον ελεγκτή τομέα, ο εισβολέας δημιούργησε πολλούς ψεύτικους λογαριασμούς που έχουν σχεδιαστεί για να μιμούνται νόμιμους χρήστες, όπως το administratr, προσθέτοντάς τους σε προνομιούχες ομάδες, συμπεριλαμβανομένων των Διαχειριστών Τομέα.
Οι εισβολείς εγκατέστησαν επίσης το λογισμικό απομακρυσμένης πρόσβασης AnyDesk για να εξασφαλίσουν τη συνεχή πρόσβαση, ακόμη και αν ανακαλυφθούν τα αρχικά τους διαπιστευτήρια.
Κατανόηση της καταστροφής αντιγράφων ασφαλείας ως διάνυσμα επίθεσης
Μια ιδιαίτερα ανησυχητική πτυχή αυτής της καμπάνιας ransomware Lynx είναι η σκόπιμη καταστροφή της υποδομής αντιγράφων ασφαλείας πριν από την ανάπτυξη του κακόβουλου λογισμικού. Μετά από έξι ημέρες αδράνειας, ο παράγοντας απειλής επέστρεψε και συνέχισε τη λειτουργία του πραγματοποιώντας επιθέσεις με ψεκασμό κωδικών πρόσβασης χρησιμοποιώντας το NetExec.
Συστηματικά συνέλεγαν ευαίσθητα δεδομένα από κοινόχρηστα στοιχεία δικτύου, συμπιέζοντας αυτά τα αρχεία χρησιμοποιώντας το 7-Zip πριν από την εξαγωγή των αρχείων μέσω του temp.sh, μιας προσωρινής υπηρεσίας κοινής χρήσης αρχείων.
Αυτή η φάση συλλογής δεδομένων χρησίμευσε ως μέθοδος προετοιμασίας διπλού εκβιασμού, επιτρέποντας στους επιτιθέμενους να απειλήσουν τα θύματα με δημοσίευση δεδομένων εάν τα λύτρα δεν πληρωθούν.
Η κρίσιμη τελική φάση περιελάμβανε απευθείας σύνδεση με διακομιστές αντιγράφων ασφαλείας και συστηματική διαγραφή εργασιών δημιουργίας αντιγράφων ασφαλείας. Αφαιρώντας τα σημεία ανάκτησης αντιγράφων ασφαλείας πριν από την ανάπτυξη του Lynx ransomware, οι εισβολείς εξάλειψαν την ικανότητα των θυμάτων να επαναφέρουν κρυπτογραφημένα αρχεία μέσω εναλλακτικών μέσων.
.webp.jpeg)
Αυτή η στρατηγική μετατρέπει το ransomware σε ένα πιο αποτελεσματικό εργαλείο εκβιασμού, καθώς οι οργανισμοί δεν μπορούν απλώς να κάνουν επαναφορά από αντίγραφα ασφαλείας.
Ο συνολικός χρόνος από τον αρχικό συμβιβασμό έως την ανάπτυξη ransomware έφτασε περίπου τις 178 ώρες σε εννέα ημέρες, επιτρέποντας στους εισβολείς να οργανώσουν προσεκτικά την επίθεσή τους και να μεγιστοποιήσουν την οργανωτική αναστάτωση όταν η Lynx κρυπτογραφούσε τελικά κρίσιμα συστήματα σε πολλούς διακομιστές αντιγράφων ασφαλείας και αρχείων.
