В недавнем отчете Центра интернет-безопасности (Center for Internet Security, CIS) говорится о растущей угрозе атак вымогательского ПО, направленных на организации коммунального хозяйства, и особое внимание уделяется деятельности группы вымогательского ПО Lynx (Storm-2113).
Lynx Ransomware
В период с 2022 по 2024 год число атак на коммунальные предприятия резко возросло из-за их зависимости от устаревшего оборудования и программного обеспечения, что делает их привлекательными целями для групп, подобных Lynx. С июля по ноябрь 2024 года на счету группировки более 20 жертв в энергетическом, нефтяном и газовом секторах США.
Несмотря на то, что Lynx заявляет о себе как об «этичной хакерской группе», избегающей воздействия на организации в сфере здравоохранения и правительства, она применяет тактику двойного вымогательства, шифруя данные жертв и угрожая утечкой конфиденциальной информации, если не будет выплачен дополнительный выкуп. Похищенные данные часто включают коммерческие тайны, финансовые записи и внутренние документы, нанося серьезный репутационный и операционный ущерб.
Первоначальные методы компрометации включают фишинговые атаки для сбора учетных данных, затем отключение антивирусного ПО, удаление теневых копий и шифрование как локальных файлов, так и сетевых ресурсов. На жертв оказывают давление, направляя их на сайт .onion, управляемый Lynx, и публичные блоги, где группа сливает или угрожает слить украденные данные.
Indicators of Compromise
URLs
- http://lynxbllrfr5262yvbgtqoyq76s7mpztcqkv6tjjxgpilpma7nyoeohyd.onion/disclosures
- http://lynxblog.net/
- http://lynxblogco7r37jt7p5wrmfxzqze7ghxw6rihzkqc455qluacwotciyd.onion/
- http://lynxblogijy4jfoblgix2klxmkbgee4leoeuge7qt4fpfkj4zbi2sjyd.onion/
- http://lynxblogmx3rbiwg3rpj4nds25hjsnrwkpxt5gaznetfikz4gz2csyad.onion/
- http://lynxblogoxllth4b46cfwlop5pfj4s7dyv37yuy7qn2ftan6gd72hsad.onion/
- http://lynxblogtwatfsrwj3oatpejwxk5bngqcd5f7s26iskagfu7ouaomjad.onion/
- http://lynxblogxstgzsarfyk2pvhdv45igghb4zmthnzmsipzeoduruz3xwqd.onion/
- http://lynxblogxutufossaeawlij3j3uikaloll5ko6grzhkwdclrjngrfoid.onion/
- http://lynxch2k5xi35j7hlbmwl7d6u2oz4vp2wqp6qkwol624cod3d6iqiyqd.onion/login
- http://lynxchatbykq2vycvyrtjqb3yuj4ze2wvdubzr2u6b632trwvdbsgmyd.onion/login
- http://lynxchatde4spv5x6xlwxf47jdo7wtwwgikdoeroxamphu3e7xx5doqd.onion/login
- http://lynxchatdy3tgcuijsqofhssopcepirjfq2f4pvb5qd4un4dhqyxswqd.onion/login
- http://lynxchatdykpoelffqlvcbtry6o7gxk3rs2aiagh7ddz5yfttd6quxqd.onion/login
- http://lynxchatfw4rgsclp4567i4llkqjr2kltaumwwobxdik3qa2oorrknad.onion/login
- http://lynxchatly4zludmhmi75jrwhycnoqvkxb4prohxmyzf4euf5gjxroad.onion/login
- http://lynxchatohmppv6au67lloc2vs6chy7nya7dsu2hhs55mcjxp2joglad.onion/login
SHA256
- 09c5ff735d3d7b8c47b4df7de35e1c72b530b2c2566628bc29aaa54feb4d89f4
- 571f5de9dd0d509ed7e5242b9b7473c2b2cbb36ba64d38b32122a0a337d6cf8b
- 85699c7180ad77f2ede0b15862bb7b51ad9df0478ed394866ac7fa9362bf5683
- b378b7ef0f906358eec595777a50f9bb5cc7bb6635e0f031d65b818a26bdc4ee
- eaa0e773eb593b0046452f420b6db8a47178c09e6db0fa68f6a2d42c3f48e3bc
- ecbfea3e7869166dd418f15387bc33ce46f2c72168f571071916b5054d7f6e49
