С середины 2024 года мир кибербезопасности сталкивается с новым, серьезным вызовом – программой-вымогателем Lynx. Этот вредоносный код нацелен главным образом на операционные системы Windows и использует сложные методы для шифрования файлов и тактики двойного вымогательства.
Технические характеристики Lynx
Программа-вымогатель Lynx шифрует файлы с использованием метода шифрования AES со 128-битным ключом в режиме CTR. После шифрования атакуемые пользователи получают уведомления о выкупе с требованием выплаты в криптовалюте. Примечательной особенностью Lynx является то, что он:
- не нацеливается на здравоохранение и государственные структуры;
- сосредоточен на корпоративных секторах в различных отраслях;
- может настраивать свои действия на основе аргументов, предоставленных во время выполнения.
Методы распространения и атаки
Основными источниками заражения программой-вымогателем Lynx являются:
- фишинговые электронные письма;
- программные эксплойты;
- вредоносная реклама.
При запуске Lynx завершает работу ключевых служб, таких как Backup, Exchange, SQL и другие, перед шифрованием пользовательских файлов. Зашифрованные файлы получают расширение .LYNX, а в каждой папке создается файл README.txt с уведомлением о требовании выкупа.
Методы обнаружения и реагирования
Для обнаружения программ-вымогателей Lynx и эффективного реагирования на атаки можно использовать следующие методы:
- Wazuh SIEM (управление информацией о безопасности и событиями);
- XDR (Расширенное обнаружение и реагирование).
Эти инструменты позволяют создать постоянную базу данных (CDB) с известными хэшами программ-вымогателей Lynx и использовать пользовательские правила для отслеживания действий, таких как:
- создание файлов README.txt;
- события шифрования.
Оповещения могут срабатывать при выполнении определенных условий, например, когда за короткий промежуток времени создается несколько уведомлений о выкупе или обнаруживаются зашифрованные файлы. Система Sysmon отслеживает системные события и целостность файлов, уведомляя администраторов о возможном поведении программ-вымогателей.
Процесс отката и восстановление данных
Модуль активного реагирования Wazuh способен выполнять сценарии отката, используя службу теневого копирования томов Windows (VSS) для восстановления компрометированных файлов. Процесс отката включает в себя:
- создание сценария PowerShell для управления теневыми копиями;
- инициацию действий по восстановлению на основе существующих моментальных снимков.
Предупреждения регистрируются, а действия по восстановлению документируются, что обеспечивает прозрачность и подотчетность в процессе реагирования на инциденты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Программа-вымогатель Lynx: новая угроза для корпоративного сектора".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.