Palo Alto Networks 发现了一种名为 “Lynx ”的新型勒索软件威胁行为体,它正积极瞄准美国和英国各行各业的组织。不过,这种新的恶意软件并不是全新的;事实上,它是 2023 年 8 月出现的 INC 勒索软件家族的改版。
自出现以来,Lynx勒索软件已经掀起了波澜,其攻击目标涉及零售、房地产、建筑和金融服务等多个领域。该变种以 “勒索软件即服务”(RaaS)的方式运行,因此其他网络犯罪分子也可以在其攻击中部署该变种。Lynx 勒索软件背后的恶意行为者采用了复杂的技术,包括双重勒索策略,即在加密受害者数据之前先将其流出。如果不支付赎金,被盗数据可能会泄露或在暗网上出售。
Lynx 勒索软件的血统可以直接追溯到 INC 勒索软件,估计有 48% 的代码与之共享。使用开源工具 BinDiff 对这两种恶意软件进行比较,证实了两者的相似性。Palo Alto Networks 发现,许多核心功能(约 70.8%)被重复使用,这表明 Lynx 开发人员严重依赖 INC 的代码库。
BinDiff 显示的 INC 和 Lynx 勒索软件代码相似性 | 图片: Palo Alto Networks
这种对已有勒索软件代码的依赖在网络犯罪领域并不罕见。正如报告所指出的,“通过利用已有代码并在其他成功勒索软件打下的基础上继续发展,威胁行为者可以节省时间和资源”,从而更快、更有效地发起攻击。这种代码的重复使用导致了勒索软件家族的迅速扩散,随着地下市场上源代码的增多,这种趋势很可能会继续下去。
Lynx 勒索软件最危险的一点是它实施双重勒索。受害者不仅要面对被加密的文件,还要面临敏感数据被暴露的风险。Lynx 背后的组织声称已经入侵了许多公司,并将窃取的数据显示在公共网站上。虽然他们声称自己避开政府机构、医院和非营利组织,但他们的攻击仍对许多行业构成重大威胁。
Palo Alto Networks 强调了 Lynx 勒索软件的广泛部署途径,包括网络钓鱼电子邮件、恶意下载和黑客论坛上的资源共享。因此,企业在防御这些多方面威胁时必须保持警惕。
对Lynx勒索软件的技术分析表明,它使用了先进的加密算法,包括CTR模式下的AES-128和Curve25519 Donna,这使得它在不支付赎金的情况下解密异常困难。该勒索软件专门针对 Windows 系统,据观察,它使用重启管理器 API (RstrtMgr) 来提高加密效率,Conti 和 Cactus 等其他臭名昭著的勒索软件家族也使用了这种技术。
此外,Lynx勒索软件在设计时考虑到了灵活性,允许攻击者通过各种命令行参数自定义执行方式。这样,攻击者就能根据自己的具体需求定制攻击,无论是加密特定目录、网络驱动器还是服务。
恶意软件中的命令行选项 | 图片: Palo Alto Networks
Lynx 勒索软件的出现凸显了网络威胁不断演变的本质。企业需要保持警惕并积极采取网络安全措施,以降低此类威胁带来的风险。