Lynx Ransomware cilja Windows, Linux i ESXi sisteme

AUTOR ·

Sigurnosni istraživači kompanije Group-IB su otkrili novu prijetnju koja je alarmantno efikasna – Lynx Ransomware. Ovaj zlonamjerni softver se nudi po modelu ucjenjivački softver kao usluga (eng. ransomware-as-a-service – RaaS) i predstavlja značajnu prijetnju za Windows, Linux i ESXi sisteme širom sveta.

Lynx Ransomware

Lynx Ransomware cilja Windows, Linux i ESXi sisteme; Source: Bing Image Creator

LYNX RANSOMWARE

Otkriće Lynx Ransomware grupe zlonamjernih aktera koji nude svoj zlonamjerni softver po modelu ucjenjivački softver kao usluga (RaaS) dodatno je ukazalo na sofisticiranu prijetnju usmjerenu na korporativnu infrastrukturu. Ekosistem partnera koji koristi Lynx Ransomware grupa je strukturiran i podstaknut, nudeći filijalama 80% udjela u prihodima od otkupnine – konkurentnu ponudu u sajber kriminalu. Ovaj model podstiče saradnju među filijalama, koji koriste panel prilagođen korisniku da efikasno obavljaju svoje zlonamjerne aktivnosti.

Lynx Ransomware panel služi kao rješenje na jednom mjestu za filijale, nudeći okruženje prilagođeno korisniku koji im omogućava da konfigurišu profile žrtava, generišu prilagođene uzorke ucjenjivačkog softvera (eng. ransomware), upravljaju rasporedima curenja podataka i još mnogo toga. Ovaj pojednostavljeni pristup učinio je Lynx Ransomware veoma atraktivnim za zlonamjerne aktere koji traže lak pristup unosnim ciljevima.

 

Partnerski ekosistem

Partnerski sistem Lynx Ransomware grupe zlonamjernih aktera funkcioniše na ekosistemu usmjerenom na partnere tako što im nudi atraktivnih 80% udjela u prihodima od otkupnine, čineći ga konkurentnim, što stvara značajnu prijetnju u digitalnom okruženju.

Srce ovog sistema leži u panelu prilagođenom korisniku koji je pomno dizajniran da omogući besprijekoran rad čak i napadačima početnicima. Ovo okruženje uključuje nekoliko dijelova: “News” pružaju ažuriranja o tekućim aktivnostima i potencijalnim ciljevima; “Companies“ omogućavaju filijalama da profilišu svoje žrtve, prikupljajući ključne informacije o infrastrukturi mete; “Chats” služe kao platforma za pregovore između filijale i žrtve; “Stuffers”, intrigantan termin u ovom kontekstu, izgleda da se koristi za upravljanje članovima grupe i koordinaciju napora; na kraju, “Leaks” se koristi za objavljivanje ukradenih podataka od žrtava.

Ova dobro organizovana infrastruktura pojednostavljuje primjenu ucjenjivačkog softvera i upravljanje žrtvama, omogućavajući filijalama da s relativnom lakoćom izvrše napade na profesionalnom nivou. Efikasnost ovog sistema bila je ključni faktor za uspeh i rast grupe u podzemlju sajber kriminala.

Značajan aspekt Lynx Ransomware strategije je njihov fokus na dvostruku iznudu. Ova taktika stvara dodatni pritisak na žrtve, jer se suočavaju sa prijetnjama da će otkriti javne podatke ako se otkupnine ne plate blagovremeno. Ukradeni podaci se objavljuju na namjenskoj stranici za curenje podataka (eng. dedicated leak site – DLS), što povećava hitnost plaćanja i potencijalno uzrokuje nepopravljivu štetu reputaciji žrtve ili poslovnim operacijama.

 

Višeplatformski softver

Lynx Ransomware pruža svojim filijalama sveobuhvatnu arhivu koja sadrži binarne datoteke za Windows, Linux i ESXi okruženja sa verzijama posebno dizajniranim za arhitekture kao što su ARM, x86, MIPS, PPC obezbeđujući kompatibilnost u širokom spektru sistema unutar ovih mreža. Ova mogućnost funkcionisanja na više platformi omogućava filijalama da neprimjetno primjenjuju zlonamjerne binarne datoteke, čime se povećava uticaj ucjenjivačkog softvera, što ga čini veoma prilagodljivim i svestranim u njegovoj sposobnosti da prodre u različite korporativne mreže.

 

Windows verzija

Analizirani Lynx Ransomware uzorak je pretrpio je značajne promjene u poređenju sa svojim ranijim verzijama. Jedna od ključnih modifikacija je uvođenje opcije “režim” (eng. mode), koja omogućava zlonamjernim akterima da biraju između brze, srednje, spore, cijele brzine šifrovanja na osnovu željene ravnoteže između brzine i šifrovanih podataka. Ranije je Lynx Ransomware imao samo jednu podrazumijevanu opciju koja se po sadašnjim postavkama može smatrati “srednjim” režimom.

Nakon izvršenja, Lynx Ransomware obavlja nekoliko pripremnih koraka kako bi osigurao nesmetan proces šifrovanja. Ako utvrdi da nema dovoljno pristupa datotekama koje treba šifrovati, pokušava da eskalira privilegije za pristup procesu i preuzimanjem vlasništva nad objektom datoteke. Ovo se zatim koristi za promjenu liste diskrecione kontrole pristupa (eng. discretionary access control list – DACL) objekta datoteke. Pored toga, koristi Windows Restart Manager da prekine procese koji trenutno koriste ciljane resurse. Kada je opcija “učitavanje diskova” (eng. load-drives) omogućena, ona nabraja sva skladišta i pokušava da priključi sva demontirana skladišta i dodjeli im slovo disk jedinice.

Ucjenjivački softver stavlja na dozvoljenu listu određene ekstenzije datoteka kao što su .exe, .dll, .msi, i .lynx, dok stavlja na crnu listu usluge kao što su sql, veeam, backup, exchange i procese uključujući java, notepad. Koristi pristup sa više niti za ubrzavanje procesa šifrovanja kreiranjem niti jednakih četiri puta većem broju CPU jezgara u sistemu. Mehanizam Windows ulazno/izlaznog porta se koristi za efikasno upravljanje asinhronim ulazno-izlaznim operacijama, omogućavajući nitima da rukuju zadacima čitanja/pisanja diska bez blokiranja procesa šifrovanja.

Ucjenjivački softver koristi kombinaciju Curve25519 Donna i AES-128 u CTR režimu za šifrovanje datoteka prije preimenovanja šifrovanih datoteka sa ekstenzijom .LYNX. Nakon šifrovanja, mijenja pozadinu radne površine kompromitovane mašine u bilješku o otkupnini i pokušava da odštampa bilješku o otkupnini na povezanim štampačima, što dodatno osigurava da poruka stigne do potencijalnih žrtava. Takođe briše kopije u sjenci promjenom veličine maksimalne količine prostora za skladištenje kopija u sjenci.

 

Linux verzija

Linux verzija Lynx Ransomware ucjenjivačkog softvera je dizajnirana prvenstveno da cilja ESXi sisteme. Metoda šifrovanja koju koristi Linux verzija preslikana je sa Windows verzije, međutim, postoje neke razlike u pogledu iskorišćene procesorske snage. Dok verzija za Windows koristi četiri puta veći broj jezgara tokom enkripcije, Linux pandan stvara niti jednake dvostrukom broju dostupnih jezgara za potrebe obrade datoteka. Pored šifrovanja datoteka, ova varijanta takođe pravi bilješke o otkupnini unutar svakog direktorijuma i može se konfigurisati kao poruka dana (eng. message-of-the-day – MOTD).

Pored toga, u ESXi okruženjima, Linux verzija Lynx Ransomware preduzima dodatne korake za uspješan napad. Zapisuje komande u datoteke pod nazivom “kill” i “delete”. Prva komanda nasilno prekida sve virtuelne mašine na ESXi hostu, dok druga uklanja sve postojeće snimke izvršavanjem pisanih instrukcija u “delete” datoteci.

 

INC ransomware povezanost

Sigurnosni istraživači su napravili poređenje između INC ransomware varijante i Lynx Ransomware varijante i konkretno postoji 147 podudaranja funkcija između ove dvije varijante ucjenjivačkog softvera, što čini približno 91% funkcija koje se preklapaju.

Ovaj nalaz sugeriše da postoji velika vjerovatnoća da je Lynx Ransomware grupa nabavila ili prilagodila izvorni kôd INC ransomware varijante za svoje Windows i Linux verzije. Ovo zapažanje naglašava izazove koje postavljaju napredne grupe koje rade po modelu ucjenjivački softver kao usluga (RaaS), budući da se neprestano nadograđuju na prethodne iteracije zlonamjernog softvera kako bi stvorile nove prijetnje.

 

ZAKLJUČAK

Lynx Ransomware predstavlja ozbiljnu i evoluirajuću prijetnju sajber bezbjednosti sa kojom se organizacije širom sveta moraju boriti. Ovaj sofisticirani zlonamjerni softver koristi strategiju dvostruke iznude, šifruje podatke žrtava dok istovremeno eksfiltrira osjetljive informacije kako bi povećao pritisak na njih da ispune zahteve za otkupninom.

Tehničke karakteristike Lynx Ransomware su vrijedne pažnje zbog njihove sofisticiranosti i sveobuhvatnosti. Završetak procesa i ciljanje na procese za pravljenje rezervnih kopija i baze podataka kao što su SQL, Veeam i Exchange, osigurava da proces šifrovanja bude neprekidan. Dok korišćenje eskalacije privilegija za sticanje administrativne kontrole nad datotekama, brisanje kopije u sjenci i funkcija višenitnog rada koja ubrzava brzinu šifrovanja kreiranjem niti jednakih četiri puta većem broju jezgara procesora omogućavaju zlonamjernom softveru da postigne svoj cilj.

Industrijalizacija sajber kriminala je očigledna u Lynx Ransomware modelu ucjenjivački softver kao usluga (RaaS) i sveobuhvatnom skupu alata. To je vidljivo i iz mogućnosti ciljanja na više platformi, što podrazumijeva ciljanje na Windows, Linux i ESXi okruženja i predstavlja značajnu prijetnju preduzećima širom sveta. Pojava ovog zlonamjernog softvera naglašava rastuću složenost operacija ucjenjivačkog softvera, zahtjevajući da preduzeća održavaju robustan i prilagodljiv položaj u sajber bezbjednosti.

U suštini, Lynx Ransomware služi kao dodatni podsjetnik na prirodu sajber prijetnji koje se stalno razvijaju i potrebu za kontinuiranom budnošću i prilagodljivošću u strategijama sajber bezbjednosti. Kako operacije ucjenjivačkog softvera postaju složenije, od suštinskog je značaja da preduzeća ulažu u robusna, dinamična rješenja za sajber bezbjednost kako bi zaštitila svoje kritične podatke i infrastrukturu od takvih zlonamjernih aktera. Budućnost sajber bezbjednosti leži u tome da korisnici i organizacije ostanu korak ispred ovih prijetnji kroz proaktivne mjere, kontinuirano učenje i saradnju među stručnjacima za bezbjednost širom sveta.

 

ZAŠTITA

Suočavanjem sa stalno rastućim prijetnjama koju predstavljaju napredne verzije ucjenjivačkog softvera kao što je Lynx Ransomware, za organizacije je ključno da usvoje proaktivnu i višestruku strategiju odbrane. Evo nekoliko preporuka o tome kako efikasno zaštititi sisteme:

  1. Jedan od najefikasnijih načina za sprečavanje napada ucjenjivačkog softvera je primjena autentifikacije u više koraka (eng. multi-factor authentication – MFA) za kritične naloge u organizaciji. Autentifikacije u više koraka dodaje još jedan sloj bezbjednosti, što otežava zlonamjernim akterima da dobiju neovlašteni pristup osjetljivim podacima i sistemima;
  2. Održavanje softvera ažurnim sa najnovijim ispravkama je od suštinskog značaja za ublažavanje poznatih ranjivosti koje ucjenjivački softver može da iskoristi. Uvjeriti se da se svi operativni sistemi, aplikacije i bezbjednosna rješenja redovno ažuriraju kako bi se smanjile potencijalne ulazne tačke za zlonamjerne aktere;
  3. Primjena naprednih softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) može značajno poboljšati ukupnu bezbjednosnu poziciju organizacije pružanjem mogućnosti otkrivanja prijetnji, analize i odgovora u realnom vremenu. Ovi alati pomažu u identifikaciji i zaustavljanju napada ucjenjivačkog softvera pre nego što izazovu veliku štetu;
  4. Pravljenje rezervnih kopija kritičnih podataka van mreže je od suštinskog značaja za obezbjeđivanje oporavka u slučaju uspješnog napada ucjenjivačkog softvera. Redovno testirati sisteme rezervnih kopija kako bi se osigurao njihov integritet, pristupačnost i funkcionalnost tokom stvarne vanredne situacije;
  5. Ucjenjivački softver kao što je Lynx Ransomware može pokušati eskalaciju privilegija da bi dobio administrativnu kontrolu nad datotekama. Kako bi se ovo spriječilo potrebno je primijeniti stroge kontrole pristupa i principe najmanje privilegije u sistemima organizacije. Ovo ograničava potencijalnu štetu koju zlonamjerni akter može da izazove ograničavanjem njihove mogućnosti da se kreću bočno kroz mrežu;
  6. Redovno praćenje mrežnog saobraćaja može pomoći u identifikaciji abnormalnog ponašanja koje ukazuje na napad ucjenjivačkog softvera. Implementirati sisteme za otkrivanje i prevenciju upada (eng. intrusion detection and prevention systems – IDPS) za automatsko otkrivanje, analizu i reagovanje na takve prijetnje u realnom vremenu;
  7. Ucjenjivački softver često ulazi u organizacije putem phishing elektronske pošte ili taktika društvenog inženjeringa. Redovna edukacija korisnike o znacima potencijalnih napada i ohrabrivanje da prijave sumnjive aktivnosti može značajno umanjiti mogućnost da napadi ucjenjivačkog softvera budu uspješni;
  8. Koristiti rješenja za filtriranje elektronske pošte koja mogu da pomognu u blokiranju phishing elektronskih poruka koje sadrže zlonamjerne priloge prije nego što stignu u prijemno sanduče zaposlenih. Ova rješenja bi trebalo da budu u stanju da analiziraju sadržaj elektronskih poruka i priloga na sumnjive aktivnosti, kao što su neobični tipovi datoteka ili linkovi koji vode do zlonamjernih internet lokacija;
  9. Dobro definisan plan odgovora na sajber prijetnju može pomoći organizaciji da brzo i efikasno reaguje u slučaju napada ucjenjivačkog softvera. Ovaj plan treba da navede jasne uloge, odgovornosti, kanale komunikacije i korake za obuzdavanje, ublažavanje i oporavak od napada;
  10. Razmisliti o primjeni politika segmentacije mreže ili mrežnog modela sa nultim povjerenjem (eng. Zero-Trust model) kako bi se ograničilo širenje zlonamjernog softvera unutar infrastrukture organizacije. Ograničavanjem bočnog kretanja i izolacijom kritičnih sistema može se umanjiti šteta uzrokovana napadom ucjenjivačkog softvera.

Primjenom ovih preporuka, organizacije mogu značajno da smanje rizik da postanu žrtve naprednog ucjenjivačkog softvera kao što je Lynx Ransomware i smanje potencijalnu štetu izazvanu takvim napadima. Proaktivna odbrambena strategija je neophodna u današnjem okruženju sajber prijetnji koje se stalno razvija.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.