揭秘勒索软件组织:山猫勒索软件

最后更新于2024年10月3日星期四14:20:53 GMT

作为我们研究和追踪威胁的一部分, Rapid7实验室正在积极监控新的和即将到来的威胁组织 ransomware Domain以拥有大量这样的元素而闻名. 在 勒索软件雷达报告, Rapid7实验室分享了2024年上半年的观察结果, 21个新的或更名的勒索软件组织浮出水面. 其中许多人并没有立即成为公众关注的焦点，因为他们滥用了一些新奇的或最近发现的漏洞, 或者——正如我们衡量活动的那样——发布大量数据泄露.

Rapid7实验室一直致力于帮助组织了解和缓解复杂的勒索软件世界, 这包括强调这些新群体. 在这篇文章中，我们将重点关注最近出现的Lynx勒索软件组织.

猞猁小组介绍

山猫勒索软件组织于2024年7月被发现, 到目前为止，已经在各个行业造成了20多名受害者. The group is using both single 和 double extortion techniques against their victims; however, 他们声称在选择受害者方面是“合乎道德的”, 根据他们7月24日的新闻稿:

“Lynx勒索软件的核心动机是基于经济激励, 目的明确，以避免对组织造成不当伤害. 我们认识到在追求经济利益时道德考虑的重要性，并保持严格的政策，反对以政府机构为目标, 医院, 或者非营利组织, 因为这些部门在社会中发挥着至关重要的作用.”

当受害者被击中时，臭名昭著的自述.txt出现在桌面上，包含到Lynx的Tor站点的链接和进入门户所需的ID:

还有受害者登录的入口, 该组织开设了一个公共博客和一个泄密页面，在这个页面上，受害者被展示出来，试图强制支付赎金.

分析山猫勒索软件

为了进行分析，我们采集了2024年8月被观察到使用的样本.

地下传言称，Lynx组织从另一个组织Rapid7 tracks: INC勒索软件那里购买了源代码. 在对Lynx和INC勒索软件样本进行二进制差分时, 总体结果显示相似度为48%, 哪个函数的分数是70.8%:

基于我们进行的差异和其他一些比较, 函数和参数有重叠, 但在我们看来，还不足以完全证明Lynx源自INC勒索软件的源代码.

初步查看Lynx勒索软件示例可以在代码中发现这一点, 有三个网址已经指向可疑网站:

hxxp: / / lynxblog [.] net/

hxxp: / / lynxch2k5xi35j7hlbmwl7d6u2oz4vp2wqp6qkwol624cod3d6iqiyqd [.]洋葱/登录

hxxp: / / lynxbllrfr5262yvbgtqoyq76s7mpztcqkv6tjjxgpilpma7nyoeohyd [.]洋葱/披露

此外，勒索软件有几个命令行选项可以运行:

在勒索软件中，自述文件.txt——也就是勒索软件通知——是使用Base64解码来隐藏的. 将生成登录到门户的ID, 但总的来说，这张纸条和其他勒索软件的纸条很相似:

你的数据被窃取和加密.

下载TOR浏览器与我们联系.

ID

~ %id%

聊天网站:

~ TOR网络:http://lynxchatly4zludmhmi75jrwhycnoqvkxb4prohxmyzf4euf5gjxroad.洋葱/登录

~ TOR镜像#1:http://lynxchatfw4rgsclp4567i4llkqjr2kltaumwwobxdik3qa2oorrknad.洋葱/登录

~ TOR镜像#2:http://lynxchatohmppv6au67lloc2vs6chy7nya7dsu2hhs55mcjxp2joglad.洋葱/登录~ TOR镜像#3: http://lynxchatbykq2vycvyrtjqb3yuj4ze2wvdubzr2u6b632trwvdbsgmyd.洋葱/Sign In

勒索软件的主要功能:

1.流程和服务管理:

• 勒索软件试图使用Restart经理等方法杀死各种系统进程和服务. 它专门针对可能阻碍加密过程的服务, 例如备份相关服务.
• 它枚举并停止依赖的服务和进程, 利用系统api，如EnumDependent服务W和ControlService.

2.删除影子副本:

• 此勒索软件的主要目标是删除卷影子副本, 哪些通常用于恢复数据. 字符串"成功删除%c的影子副本:建议使用vssadmin或其他类似命令来确保删除备份文件.

3.文件加密:

• 它在整个系统中加密文件, 包括网络共享和驱动器(加密网络共享), 加载隐藏驱动器). 使用“加密文件:%s”和“只加密指定目录”等术语表明勒索软件可以专注于特定的文件夹或文件类型, 提高其精度.
• 还可以只加密选定的文件, 目录, 或者基于配置的网络共享(——file, --dir , ——加密网络).

山猫:值得关注

而山猫勒索软件组织表示，他们采取“道德”立场, 在任何情况下，攻击和勒索受害者都不能以这种方式看待. 山猫的攻击性目标和双重勒索策略使它们成为观赏的威胁. 在Lynx和INC勒索软件之间的功能重叠, 勒索软件组织之间源代码共享和演变的可能性仍然是防御者的一个关键问题.

当组织应对这些威胁时, 保持警惕是至关重要的, 投资于强大的安全措施, 准备好对勒索软件事件做出快速反应. Rapid7实验室将继续监控和分析Lynx等组织的活动，为社区提供及时的见解和可操作的情报.