FortiGuard Labs har fulgt udviklingen af ransomware-varianter gennem deres database og Open Source Intelligence (OSINT)-fællesskabet. Den seneste Ransomware Roundup-rapport fremhæver Lynx som en voksende trussel og analyserer dens oprindelse, påvirkning og potentielle mål.
De første prøver af Lynx blev identificeret i juli 2023, da de blev indsendt til analyse hos en offentlig tjeneste. Denne opdagelse falder sammen med andre rapporter om dets eksistens. Det skriver det portugisiske medie Executive Digest.
FortiGuard Labs' undersøgelse afslørede, at Lynx har mange ligheder med ransomware-varianten INC, der også blev opdaget i juli 2023, men som har færre muligheder for eksekvering.
Eksperter er nu af den opfattelse, at INC kan være en form for forgænger til Lynx. Indtil videre er Lynx-varianter kun blevet fundet i Windows-miljøer, hvilket står i kontrast til INC, som også påvirker ESXi-systemer.
En af de vigtigste egenskaber ved Lynx er dens øgede kontrol over krypteringsprocessen. Ligesom andre ransomware-familier krypterer både Lynx og INC filer på Windows-maskiner og ændrer offerets skrivebordsbaggrund for at vise en besked om en løsesum.
Derudover forsøger begge varianter at sende en besked om en løsesum til de printere, der er forbundet til det kompromitterede system.
Den vektor, som Lynx benytter, er endnu ikke identificeret, men forskerne mener, at den ikke adskiller sig væsentligt fra andre ransomware-grupper. Det, der gør Lynx særligt bemærkelsesværdig, er dens data-leak-platform, hvor stjålne data fra ofre offentliggøres.
Ved tidspunktet for offentliggørelsen af denne undersøgelse indeholdt Lynx' datalæk oplysninger om intet mindre end 96 ofre. FortiGuard Labs' analyse viser, at Lynx' ofre er spredt over 16 lande, hvoraf USA tegner sig for over 60 procent af tilfældene.
Canada og Storbritannien følger med ca. 8 procent hver. Den hårdest ramte sektor er fremstillingsindustrien med mere end 20 procent af de registrerede angreb, som er efterfulgt af byggebranchen med et lignende niveau.
Selvom Lynx-gruppen hævder at undgå angreb på statslige institutioner, hospitaler og non-profit organisationer på grund af deres væsentlige rolle i samfundet, viser deres database over data, at nogle af ofrene tilhører sundheds- og energisektoren.
Disse modsætninger rejser tvivl om de reelle intentioner bag Lynx-gruppen og understreger behovet for mere robuste cybersikkerhedsmæssige foranstaltninger til at mindske risikoen for disse trusler.
