Lynx

Überblick

Lynx ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, die ihre Schadsoftware Partnern zur Verfügung stellt. Sie gilt als Umfirmierung beziehungsweise Ableger von INC Ransomware; auf Code-Ebene bestehen deutliche Ähnlichkeiten, und der Quellcode des Vorgängers wurde im RAMP-Forum gehandelt. Lynx tritt ausgesprochen aggressiv auf und nimmt bevorzugt kleine und mittelständische Unternehmen sowie Organisationen des Mittelstands ins Visier. Betroffen sind Einrichtungen unterschiedlicher Branchen, darunter das produzierende Gewerbe, unternehmensnahe Dienstleistungen, der Technologiesektor sowie das Transportwesen. Charakteristisch ist das Geschäftsmodell mit Partnern, die im Gegenzug für die Nutzung der Infrastruktur einen Anteil der Erlöse abführen. Vor der Verschlüsselung werden Daten abgezogen, um die Opfer zusätzlich unter Druck zu setzen (Double Extortion). Verschlüsselte Dateien erhalten die Endung „.lynx“. Für die Lösegeldverhandlungen betreibt die Gruppe eigene Portale im Tor-Netzwerk sowie eine Leak-Plattform zur Veröffentlichung gestohlener Daten.

Taktiken & Vorgehen

Den Erstzugang verschafft sich Lynx über gültige, bei Initial-Access-Brokern erworbene Zugangsdaten, mit denen sie sich per RDP und VPN authentisiert, sowie über Phishing-E-Mails mit schädlichen Anhängen. Zur Ausführung und für Folgeaktivitäten kommt PowerShell zum Einsatz. Zur Erkundung werden mit SoftPerfect NetScan das Netzwerk kartiert, die Registry nach installierter Sicherheitssoftware abgefragt sowie CPU- und Systeminformationen ermittelt, auch um Analyse- und Sandbox-Umgebungen zu erkennen. Anmeldedaten werden aus dem LSASS-Speicher ausgelesen und für die laterale Bewegung über RDP genutzt. Sicherheitswerkzeuge werden deaktiviert, die Ransomware-Datei wird umbenannt und als legitimes Dienstprogramm getarnt (Masquerading). Mit Restic werden Daten zu Cloud-Speichern exfiltriert. Die Kommunikation zur Steuerung erfolgt über HTTPS. Verschlüsselt wird mit AES-128 im CTR-Modus, die Schlüssel werden per RSA-2048 geschützt; anschließend werden Schattenkopien gelöscht und Wiederherstellungsoptionen deaktiviert.

Schutzmaßnahmen

Fernzugänge über RDP und VPN sollten durch Mehr-Faktor-Authentisierung, restriktive Freigaben und Überwachung auffälliger Anmeldungen abgesichert werden, da kompromittierte Zugangsdaten den Erstzugang ermöglichen. E-Mail-Anhänge sollten gefiltert und auf schädliche Inhalte geprüft werden, um Spearphishing zu begegnen. Die Ausführung von PowerShell sollte eingeschränkt und protokolliert werden. Der Zugriff auf den LSASS-Speicher sollte überwacht und gegen das Auslesen von Anmeldedaten gehärtet werden. Sicherheitswerkzeuge sollten gegen Deaktivierung geschützt und auf Manipulation überwacht werden. Interne Netzwerk-Scans, etwa durch SoftPerfect NetScan, sowie Datenabflüsse zu externen Cloud-Speichern über Werkzeuge wie Restic sollten erkannt und unterbunden werden. Schattenkopien und Wiederherstellungsfunktionen sollten vor unbefugter Löschung geschützt werden.