Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Lynx: RDP-вторжение с уничтожением резервных копий и эскалацией привилегий

3 мин
Вторжение, связанное с программой‑вымогателем Lynx, показало тщательно спланированную кампанию, направленную не только на шифрование данных, но и на устранение возможностей восстановления. Атака началась с успешного входа по протоколу RDP с использованием скомпрометированных учетных данных и завершилась развертыванием вымогателя после получения контроля над серверами резервного копирования. Первичный доступ был получен через RDP с использованием действительных учетных данных. По анализу инцидента видно, что эти креденшалы, вероятно, были получены в результате работы стиллера (stealer) или за счёт повторного использования пароля после предыдущих утечек данных. Важно отметить, что в системе не было следов брутфорс‑атак или подстановки паролей — злоумышленник уже обладал легитимным доступом до начала активных действий. После первоначального входа злоумышленник быстро развернул операции по латеральному перемещению: В течение примерно девяти дней злоумышленник систематически исследовал сеть
Оглавление

Вторжение, связанное с программой‑вымогателем Lynx, показало тщательно спланированную кампанию, направленную не только на шифрование данных, но и на устранение возможностей восстановления. Атака началась с успешного входа по протоколу RDP с использованием скомпрометированных учетных данных и завершилась развертыванием вымогателя после получения контроля над серверами резервного копирования.

Как произошёл взлом

Первичный доступ был получен через RDP с использованием действительных учетных данных. По анализу инцидента видно, что эти креденшалы, вероятно, были получены в результате работы стиллера (stealer) или за счёт повторного использования пароля после предыдущих утечек данных. Важно отметить, что в системе не было следов брутфорс‑атак или подстановки паролей — злоумышленник уже обладал легитимным доступом до начала активных действий.

Перемещение по сети и закрепление

После первоначального входа злоумышленник быстро развернул операции по латеральному перемещению:

  • Использована отдельная скомпрометированная учетная запись администратора домена для расширения контроля.
  • Созданы несколько учетных записей для имперсонации, имитирующих легитимных пользователей, которым присвоены повышенные привилегии в Active Directory.
  • Выполнялись команды через Windows Command Shell и PowerShell преимущественно в целях разведки и картирования сети.
  • Особое внимание было уделено инфраструктуре виртуализации и общим файловым ресурсам, где хранились конфиденциальные данные.

В течение примерно девяти дней злоумышленник систематически исследовал сеть и сохранял доступ, одновременно предпринимая шаги по сокрытию своей активности.

Инструменты и тактики

Для облегчения сканирования и перемещения использовались известные инструменты и утилиты:

  • SoftPerfect Network Scanner — сканирование сети;
  • Netexec — удалённое выполнение команд;
  • 7‑Zip — сжатие собранных файлов;
  • Служба временного обмена файлами, часто используемая киберпреступниками, для вывода данных из сети.

Такой набор указывает на продуманные усилия по сбору, фильтрации и эксфильтрации конфиденциальных файлов, находившихся на общих сетевых ресурсах.

Развертывание вымогателя и подрыв механизмов восстановления

Ключевой аспект атаки — целенаправленное получение контроля над инфраструктурой резервного копирования. После компрометации серверов резервного копирования злоумышленник:

  • удалил существующие задания резервного копирования, чтобы препятствовать восстановлению;
  • направленно доставил полезную нагрузку Lynx через RDP на рабочий стол скомпрометированной учетной записи администратора домена;
  • непосредственно взаимодействовал с программным обеспечением резервного копирования, чтобы саботировать варианты восстановления;
  • установил AnyDesk как службу на контроллере домена — однако дальнейшая активность в основном велась через RDP, без значимых следов последующего использования AnyDesk.
Атака демонстрирует тенденцию: злоумышленники не только шифруют данные, но и целенаправленно устраняют механизмы восстановления, чтобы повысить эффективность вымогательства.

Последствия и рекомендации

Итоги инцидента показывают типичную для современных группировок‑вымогателей стратегию: последовательное получение легитимных учетных данных, латеральное перемещение, сбор данных и уничтожение резервных копий перед шифрованием. Для уменьшения рисков и повышения устойчивости к подобным атакам рекомендуется:

  • внедрить многофакторную аутентификацию (MFA) для всех удалённых доступов, включая RDP;
  • ограничить использование учетных записей с административными привилегиями и отслеживать создание новых привилегированных аккаунтов в Active Directory;
  • регулярно проверять целостность и конфигурацию задач резервного копирования и хранить изолированные (air‑gapped) копии резервов;
  • внедрить мониторинг аномалий и аудит командной активности PowerShell и удалённых сессий;
  • обучать сотрудников правилам безопасности и минимизировать повторное использование паролей;
  • сегментировать сеть и ограничивать доступ к критическим ресурсам, включая инфраструктуру виртуализации и файловые шары.

Данный инцидент служит напоминанием: даже при отсутствии явных попыток брутфорса угрозы остаются высокими, если скомпрометированы действительные учетные данные. Комплексный подход к защите — архитектура доступа, мониторинг и резервирование — остаётся ключом к снижению ущерба от атак типа Lynx.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Lynx: RDP-вторжение с уничтожением резервных копий и эскалацией привилегий".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются