Главная страница » Индикаторы компрометации
1
12 дней
Индикаторы компрометации

Группировки Akira и Lynx усиливают атаки на MSP-провайдеров

ransomware

Исследователи Acronis Threat Research Unit (TRU) выявили новые тактические изменения в работе вымогательских группировок Akira и Lynx, которые активно атакуют поставщиков управляемых IT-услуг (MSP). Обе семьи используют модель Ransomware-as-a-Service (RaaS) и тактику двойного шантажа, сочетая шифрование данных с угрозами публикации украденной информации. Анализ образцов за I квартал 2025 года показывает эволюцию их методов и растущую угрозу для малого и среднего бизнеса.

Описание

Происхождение и масштабы угрозы

Akira и Lynx демонстрируют признаки общего "кодового наследия". Эксперты обнаружили, что Lynx интегрировал элементы исходного кода утечки LockBit, а Akira имеет сходство с Conti, который также повлиял на LockBit. С 2023 года Akira входит в топ-10 наиболее активных группировок: 174 атаки в 2023-м, 315 - в 2024-м. Зафиксировано более 220 жертв, включая юридические, бухгалтерские фирмы и строительные компании. Особое внимание злоумышленники уделяют MSP: среди целей - Hitachi Vantara и Toppan Next Tech.

Lynx, впервые замеченный в середине 2024 года, атаковал около 145 организаций. Его жертвами становятся преимущественно малые предприятия, как, например, телеканал CBS в Чаттануге (Теннесси). Группировка активно ищет партнеров-аффилиатов на русскоязычных форумах, предлагая конструктор для Windows/Linux и админ-панель для слива данных.

Технические инновации и методы атаки

Akira сменил векторы проникновения: если в 2024 году использовались уязвимости VPN (включая SonicWall CVE-2024-40766), то в 2025-м операторы перешли на украденные учетные данные администраторов. После компрометации систем они отключают ПО безопасности, проводят разведку, перемещаются по сети и выполняют эксфильтрацию данных перед шифрованием.

Анализируемый образец (PE64, C/C++) использует сложную логику:

  • Поддерживает аргументы командной строки для управления путями шифрования и исключениями (например, пропускает папки "$Recycle.Bin", "Windows").
  • Удаляет теневые копии через PowerShell и WMI.
  • Создает многопоточную систему шифрования с учетом числа процессоров.
  • Применяет гибридное шифрование: ChaCha20 для данных и RSA для ключей.
  • Использует Restart Manager API для "убийства" процессов, блокирующих файлы.

Lynx (PE32, без обфускации) демонстрирует уникальные функции:

  • Монтирует скрытые диски через "SetVolumeMountPointW".
  • Останавливает службы ("sql", "veeam", "backup") и процессы через "ControlService".
  • Удаляет теневые копии, устанавливая минимальный размер через недокументированный "IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE".
  • Генерирует AES-ключи на основе ECC-криптографии.
  • Новшество: автоматически печатает вымогательские записки на всех доступных принтерах и устанавливает их как обои рабочего стола.

Обе группировки исключают критичные для ОС файлы (.dll, .exe) и используют двойной шантаж, предварительно выгружая данные на свои серверы.

Риски для MSP и бизнеса

MSP остаются приоритетными целями из-за доступа к сетям множества клиентов. "Атака на одного MSP-провайдера дает злоумышленникам доступ к сотням компаний, что максимизирует прибыль", - отмечается в отчете TRU. Группировки не ограничиваются MSP, атакуя любые организации с расчетом на "достойную выплату".

Условия выкупа:

  • Akira рассчитывает сумму индивидуально, основываясь на украденных финансовых данных, и дает жертвам менее 5 дней на оплату.
  • Lynx фиксирует идентификатор жертвы в записке и требует плату как за дешифратор, так и за неразглашение информации.

Заключение

Несмотря на использование переработанных техник (эксплуатация RDP, уязвимостей VPN), Akira и Lynx продолжают эволюционировать. Их адаптивность к средствам защиты, применение легитимных инструментов и фокус на MSP создают комплексные угрозы. Эксперты Acronis рекомендуют компаниям: внедрять MFA, регулярно обновлять VPN-решения, контролировать привилегии учетных записей и использовать решения для мониторинга аномальной активности.

Индикаторы компрометации

URLs

  • http://lynxblog.net
  • http://lynxblogco7r37jt7p5wrmfxzqze7ghxw6rihzkqc455qluacwotciyd.onion/
  • http://lynxblogijy4jfoblgix2klxmkbgee4leoeuge7qt4fpfkj4zbi2sjyd.onion/
  • http://lynxblogmx3rbiwg3rpj4nds25hjsnrwkpxt5gaznetfikz4gz2csyad.onion/
  • http://lynxblogoxllth4b46cfwlop5pfj4s7dyv37yuy7qn2ftan6gd72hsad.onion/
  • http://lynxblogtwatfsrwj3oatpejwxk5bngqcd5f7s26iskagfu7ouaomjad.onion/
  • http://lynxblogxstgzsarfyk2pvhdv45igghb4zmthnzmsipzeoduruz3xwqd.onion/
  • http://lynxblogxutufossaeawlij3j3uikaloll5ko6grzhkwdclrjngrfoid.onion/
  • http://lynxch2k5xi35j7hlbmwl7d6u2oz4vp2wqp6qkwol624cod3d6iqiyqd.onion/login
  • http://lynxchatbykq2vycvyrtjqb3yuj4ze2wvdubzr2u6b632trwvdbsgmyd.onion/login
  • http://lynxchatde4spv5x6xlwxf47jdo7wtwwgikdoeroxamphu3e7xx5doqd.onion/login
  • http://lynxchatdy3tgcuijsqofhssopcepirjfq2f4pvb5qd4un4dhqyxswqd.onion/login
  • http://lynxchatdykpoelffqlvcbtry6o7gxk3rs2aiagh7ddz5yfttd6quxqd.onion/login
  • http://lynxchatfw4rgsclp4567i4llkqjr2kltaumwwobxdik3qa2oorrknad.onion/login
  • http://lynxchatly4zludmhmi75jrwhycnoqvkxb4prohxmyzf4euf5gjxroad.onion/login
  • http://lynxchatohmppv6au67lloc2vs6chy7nya7dsu2hhs55mcjxp2joglad.onion/login

SHA256

  • 571f5de9dd0d509ed7e5242b9b7473c2b2cbb36ba64d38b32122a0a337d6cf8b
Комментарии: 0
Похожие записи
0
01.07.2025
Индикаторы компрометации

Новый гибридный вымогатель DEVMAN: анализ уникального варианта DragonForce с фатальным изъяном

ransomware
В постоянно эволюционирующем ландшафте киберугроз появился новый гибридный штамм вымогательского ПО под названием DEVMAN, представляющий собой модифицированную версию печально известного DragonForce.
0
25.09.2022
Индикаторы компрометации

FARGO Ransomware IOCs

ransomware
Группа анализа ASEC постоянно отслеживает вредоносное ПО, распространяемое на уязвимые серверы MS-SQL. Недавно аналитическая группа обнаружила распространение вымогательского ПО FARGO, нацеленного на уязвимые серверы MS-SQL.