Il gruppo Lynx Ransomware-As-A-Service (RAAS) è stato scoperto nel gestire una piattaforma altamente organizzata e ben strutturata per sferrare attacchi a diverse entità, la piattaforma è completa di un programma di affiliazione strutturato e metodi di crittografia robusti. I ricercatori di Group-IB hanno ottenuto l’accesso al pannel di affiliazione del gruppo, rivelando i meccanismi interni di questo nuovo gruppo APT.
Programma di affiliazione strutturato
Il panel di generazione di istanze di Lynx è organizzato in più sezioni, tra cui “notizie”, “aziende”, “chat”, “Stuff” e “perdite”. Questo design consente agli affiliati di configurare i profili delle vittime, generare campioni di ransomware personalizzati e gestire le pianificazioni delle perdite di dati all’interno di un’interfaccia intuitiva.
Gli affiliati ricevono una quota dell’80% dei proventi di riscatto, gestiscono tutti i negoziati e mantengono il controllo sul portafoglio Ransom. Lynx offre anche servizi aggiuntivi, come un call center per sferrare attacchi di ingegneria sociale sulle vittime e soluzioni di archiviazione avanzate per affiliati ad alte prestazioni.
Fonte: piattaforma dedicata (DLS) di Lynx Ransomware.
Ransomware multipiattaforma e crittografia personalizzabile
Il gruppo fornisce anche un “archivio all-in-one” contenente binari per Windows, Linux ed ESXI, coprendo una gamma di architetture, tra cui ARM, MIPS e PPC. Questo approccio multi-architettura garantisce un’ampia compatibilità e massimizza l’impatto degli attacchi in diverse reti.
Lynx ha recentemente introdotto più modalità di crittografia – “veloce”, “medio”, “lento” e “intero” – consentendo agli affiliati di bilanciare la velocità e la profondità della crittografia dei file. Il ransomware impiega solidi algoritmi di crittografia, tra cui Curve25519 Donna e AES-128.
Reclutamento professionale e doppia estorsione
Il gruppo recluta attivamente criminali informatici nelle underground con un rigoroso processo di affiliazione.
Non prendono di mira le entità civili come istituzioni sanitarie, enti governativi, chiese o organizzazioni no profit.
Lynx impiega tattiche a doppia estorsione, crittografando i dati delle vittime e minacciando di ripubblicarli sul loro sito dedicato (DLS) se i riscatti non vengono pagati. Il DLS funge da piattaforma in cui gli aggressori pubblicano annunci sugli attacchi e divulgano dati trapelati dalle loro vittime.
“Lynx è emerso come un formidabile operatore RAAS combinando un arsenale versatile di build ransomware, un ecosistema affiliato strutturato e tattiche di estorsione sistematica”, ha scritto Group-IB.
“L’analisi approfondita ha rivelato una significativa sovrapposizione di codice con
Inc Ransomware
[…]. Ciò indica fortemente che Lynx potrebbe aver acquistato o adattato il codice sorgente ransomware Inc, consentendo loro di basarsi sulle capacità di malware esistenti. Per le organizzazioni, ciò sottolinea l’importanza di aggiornare continuamente le procedure di risposta agli incidenti, investire negli auditing di minacce in tempo reale e promuovere una cultura della sicurezza. “
Raccomandazioni per la difesa
Per difendersi dalla minaccia di ransomware di lince, si raccomandano le seguenti misure:
- Dai la priorità agli aggiornamenti del software
- Applicare regolarmente aggiornamenti critici per mitigare le vulnerabilità
- Implement Authentication Multi-Factor (MFA):
- Utilizzare MFA, in particolare per account privilegiati, per aggiungere un ulteriore livello di sicurezza
- Distribuire soluzioni avanzate di rilevamento e risposta endpoint (EDR)
- Utilizzare il rilevamento comportamentale per identificare gli indicatori di ransomware sugli endpoint gestiti
- Pianificare regolarmente i backup
- Mantenere backup offline o segmentati da rete per proteggerli dai movimenti laterali da parte degli aggressori
- Condurre la formazione sulla consapevolezza della sicurezza
- Educare i dipendenti su phishing e attività sospette per ridurre l’errore umano
- Eseguire audit tecnici in corso
- Valutare regolarmente l’infrastruttura per scoprire i punti deboli nascosti e garantire un rigoroso controllo dell’accesso e di penetration testing
- Evita di pagare il riscatto, Il pagamento degli aggressori incoraggia l’ulteriore estorsione, contattare le squadre di risposta agli incidenti esperti
L’implementazione di queste strategie può migliorare significativamente la resilienza di un’organizzazione contro gli attacchi ransomware.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK
https://amzn.to/48exAdf
@EBOOK (English version)
https://amzn.to/4fflbbv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ