ALCARED, Centro Autorizado de Servicios de FLUKE Networks en Perú
Resumen de ransomware: Lynx
4 de febrero de 2025
FortiGuard Labs recopila datos sobre variantes de ransomware de interés que han ido ganando terreno en nuestros conjuntos de datos y en la comunidad OSINT. El informe «Ransomware Roundup» busca ofrecer a los lectores una breve perspectiva sobre el panorama cambiante del ransomware y las soluciones de Fortinet que protegen contra estas variantes.
Esta edición del Ransomware Roundup cubre el ransomware Lynx.
Plataformas afectadas: Microsoft Windows
Partes afectadas: Microsoft Windows
Impacto: Cifra los archivos de las víctimas y exige un rescate para descifrarlos
Nivel de gravedad: Alto
Descripción general del ransomware Lynx
La primera muestra del ransomware Lynx estuvo disponible en un sitio de escaneo de archivos de acceso público a principios de julio de 2024, lo que coincide con otros informes de su primera disponibilidad.
Nuestra investigación reveló que el ransomware Lynx y el INC, que aparecieron por primera vez en julio de 2023, son muy similares. Sin embargo, INC ofrece menos opciones en la fase de ejecución. Creemos que el ransomware INC es un predecesor del ransomware Lynx. Si bien el ransomware INC está disponible para las plataformas Windows y ESXi, no hemos encontrado una variante Lynx que afecte a entornos que no sean Windows.
Figura 1: Opciones del ransomware INC
La captura de pantalla anterior muestra las diferentes opciones y funciones que puede realizar una muestra del ransomware INC. En contraste, la captura de pantalla siguiente muestra cuáles son para una muestra de LYNX.
Figura 2: Opciones del ransomware LYNX
El ransomware LYNX ofrece un control más granular que INC. Como la mayoría de los ransomware, INC y LYNX cifran los archivos en los equipos Windows de las víctimas. Ambas familias utilizan los mismos métodos de cifrado. Además, modifican el fondo de pantalla para mostrar la nota de rescate. Simultáneamente, ambas intentan enviar la nota de rescate a las impresoras conectadas. Esto se puede ver en las siguientes capturas de pantalla.
Figura 3: Ransomware INC
Figura 4: Ransomware LYNX
Al igual que otros ataques de ransomware, estos exigen un rescate para descifrar los archivos a través de notas de rescate dejadas.Vector de Infección
La información sobre el vector de infección utilizado por el actor de la amenaza del ransomware Lynx no está disponible. Sin embargo, no es probable que difiera significativamente de otros grupos de ransomware.Método de Ataque
Cuando se ejecuta, el ransomware Lynx toma los siguientes argumentos de línea:
| Option | Description |
| –file <filePath> | Encrypt only specified file(s) |
| –dir <dirPath> | Encrypt only specified directory/directories |
| –mode fast | Encrypt 5% from entire file |
| –mode medium | Encrypt 15% from entire file (default) |
| –mode slow | Encrypt 25% from entire file |
| –mode entire | Encrypt 100% from entire file |
| –help | Print this message |
| –verbose | Enable verbosity |
| –silent | Enable silent encryption (no extension and notes will be added) |
| –stop-processes | Try to stop processes via RestartManager |
| –encrypt-network | Encrypt network shares |
| –load-drives | Load hidden drives (will corrupt boot loader) |
| –hide-cmd | Hide console window |
| –no-background | Don’t change background image |
| –no-print | Don’t print note on printers |
| –kill | Kill processes/services |
| –safe-mode | Enter safe-mode |
El ransomware Lynx siempre finaliza los procesos que contienen las siguientes cadenas para maximizar el daño:
- SQL
- Veeam
- Backup
- Exchange
- Java
- Notepad
Mata servicios que contienen las siguientes cadenas:
- SQL
- Veeam
- Backup
- Exchange
El ransomware Lynx luego encripta los archivos en las máquinas comprometidas y agrega una extensión de archivo «.LYNX» a los archivos afectados.
Figure 5: Files encrypted by the Lynx ransomware
El ransomware evita cifrar archivos en las siguientes carpetas:
- Windows
- program files
- program files (x86)
- $RECYCLE.BIN
- Appdata
El ransomware Lynx evita cifrar archivos con las siguientes extensiones:
- .exe
- .msi
- .dll
- .lynx
También realiza las siguientes acciones:
- Vaciar la papelera de reciclaje
- Montar unidades para el cifrado
- Eliminar instantáneas de volumen
- Cambiar el fondo de pantalla para mostrar la nota de rescate
- Imprimir una nota de rescate si hay impresoras disponibles conectadas al equipo infectado
El ransomware Lynx deja la siguiente nota de rescate en “README.txt”:
Figura 6: La nota de rescate del ransomware Lynx
El ransomware luego reemplaza el fondo de pantalla del escritorio con el mismo mensaje de rescate.
La muestra de ransomware Lynx más antigua (SHA2: eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc) muestra una nota de rescate ligeramente diferente. Contiene diferentes sitios TOR y una dirección de correo electrónico del atacante que no se encuentra en otros ransomware Lynx.
Figura 7: La nota de rescate de una muestra del ransomware Lynx con SHA2: eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc
La nota de rescate dirige a las víctimas a un sitio de chat operado por el atacante en TOR, donde las víctimas deben registrarse primero con una identificación única.
Figura 8: Pantalla de registro del sitio TOR del ransomware Lynx.
Victimology and Data Leak Site
El ransomware Lynx cuenta con un sitio web de filtración de datos que publica información de las víctimas, incluyendo datos robados. Al momento de escribir este artículo (29 de enero de 2025), el sitio web de filtración de datos enumera 96 víctimas, siendo la última fecha de publicación el 20 de enero de 2025. Nuestra investigación halló lo siguiente sobre las víctimas del ransomware Lynx que aparecen en el sitio web de filtración de datos:
- Las víctimas están repartidas en 16 países diferentes.
- Más del 60% de las víctimas se encuentran en Estados Unidos.
- Canadá y el Reino Unido ocupan el segundo lugar con alrededor del 8%.
- La industria manufacturera es la más afectada por esto, con más del 20%.
- La construcción ocupa el segundo lugar con poco menos del 20%.
Tenga en cuenta que es posible que las víctimas que pagaron el rescate hayan sido eliminadas del sitio de filtración de datos y, como tal, es posible que otras empresas se vean afectadas por el ransomware Lynx.
Además del sitio de chat mencionado anteriormente, el grupo de ransomware Lynx opera un sitio de filtración de datos en TOR.
Figura 9: Página principal del sitio de filtración de datos del ransomware Lynx en TOR
El grupo de ransomware Lynx afirma tener una política que excluye a «instituciones gubernamentales, hospitales y organizaciones sin fines de lucro, ya que estos sectores desempeñan un papel vital en la sociedad». Sin embargo, algunas de las víctimas mencionadas en el sitio web de la filtración de datos pertenecen a organizaciones que se cree pertenecen a los sectores de la salud y la energía.
Figura 10: El código de conducta del ransomware Lynx aparece en el sitio TOR
Al igual que con otros grupos de ransomware, cada víctima tiene su propia página de filtración de datos con una descripción de los documentos robados, los ingresos de la organización víctima y la fecha en que se filtraron los datos.
Figura 11: Página individual de una organización víctima
Protecciones de Fortinet
El ransomware Lynx descrito en este informe es detectado y bloqueado por FortiGuard Antivirus como:
- W32/IncRansom.A!tr.rescate
- W32/Filecoder_IncRansom.A!tr
- W32/Filecoder_IncRansom.A!tr.ransom
FortiGate, FortiMail, FortiClient y FortiEDR son compatibles con el servicio FortiGuard AntiVirus . El motor FortiGuard AntiVirus forma parte de cada una de estas soluciones. Como resultado, los clientes que cuentan con estos productos con protección actualizada están protegidos.
Fuente: