Lynx 勒索病毒的最新動態(tài)與分析

主要觀察

• Lynx 勒索病毒是一種新型的勒索服務（RaaS），自2023年7月以來開始活動，可能源自于5月出售的 INC 勒索源代碼。
• 自首次出現(xiàn)以來，Lynx 鬼組織已經(jīng)宣稱超過20名受害者，主要集中在美國和英國的零售、房地產(chǎn)、金融服務等行業(yè)。
• Lynx 的源代碼與 INC 勒索病毒有著48%的相似度，功能上則達到70.8%。

根據(jù)多個關于 Lynx 勒索病毒的分析，目前這個新興的勒索病毒服務可追溯至2023年7月，其源代碼可能與5月泄露出售的 INC 勒索病毒來源相關。根據(jù) 和 的分析，Lynx 鬼組織在其清晰與暗網(wǎng)網(wǎng)站上保持活躍，并聲稱他們不會將政府機構、醫(yī)院或非營利組織列為目標。

Lynx 勒索病毒的目標及相似性分析

根據(jù) Unit 42 的報告，至今 Lynx勒索病毒已針對的受害者涵蓋了各個行業(yè)，特別是在零售、房地產(chǎn)、建筑以及金融服務領域。值得注意的是，該團伙在網(wǎng)站上明言不會將政府機構、醫(yī)療單位或非營利組織作為攻擊目標。

相似性研究

Rapid7 和 Unit 42 曾對 Lynx 和 INC勒索病毒進行了二元差異分析，結果顯示兩者之間的整體相似度為48%，而功能相似度達到70.8%。Rapid7 表示，這一比較尚不足以完全證明 Lynx 源自于 INC 勒索病毒的源代碼，但 Unit 42 則指出功能上的重疊“強烈暗示” Lynx 勒索病毒的開發(fā)者借用了 INC 的代碼庫。

INC 勒索的背景資訊

INC 勒索病毒在2023年8月首次出現(xiàn)，據(jù)報導已有至少64名受害者，且經(jīng)常針對醫(yī)療組織進行攻擊，包括 和 的癌癥醫(yī)院運營機構。雖然包含 Linux 版本的 INC 勒索病毒在出售時已被列舉，至今尚未發(fā)現(xiàn) Lynx 勒索病毒的 Linux 版本。

加密技術與運作方式

根據(jù) Nextron 的報告，Lynx 勒索病毒集成了多種技術，具體包括：

• 終止進程和服務，例如含有 "sql"、"veeam"、"backup"、"java" 和 "exchange" 的項目。
• 透過在當前進程標記上啟用 "SeTakeOwnershipPrivilege" 來提高權限。
• 使用 DeviceIoControl 刪除影子復制檔案。

該勒索病毒使用 AES-128 CTR 模式和 Curve25519 Donna 加密算法來加密檔案，并利用 Restart Manager API "RstrtMgr" 來加密當前正在使用或被