Il ransomware Lynx è in rapida crescita nel mondo. È un esempio della portata del modello Ransomware-as-a-Service (RaaS) che spinge la diffusione e il riadattamento di minacce.

Nello specifico, Lynx è evoluzione di ransomware INC – già molto noto in Italia – che però non infetta solo piattaforme Windows, invadendo di fatto anche le sfere Linux e VMWare ESXi.

Inoltre, il modello RaaS consente di diffondere la portata degli attacchi, lasciando ad affiliati la possibilità di estenderli secondo le rispettive intenzioni e partecipando poi al ritorno economico che tali attacchi generano.

Le peculiarità di Lynx

Emerso nel 2024, il ransomware Linx si sta diffondendo a ritmo sostenuto ovunque nel mondo, cifra i dati combinando tra loro gli algoritmi AES-128 e Curve 25519 laddove il primo consente la cifratura simmetrica di ingenti quantità di file mentre Curve25519 (nella variante Donna) protegge la chiave AES-128 usata dagli attaccanti per rendere inutilizzabili i dati.

La variante Donna di Curve25519 è particolarmente efficace in ambienti a basso livello ed è quindi usata nei firmware, nei driver e nei sistemi embedded, diffusi anche tra i microcontrollori e dispositivi IoT.

In Italia sono 8 le organizzazioni che si sono imbattute in Lynx, i cui maggiori effetti attualmente si avvertono negli Stati Uniti.

La diffusione e gli effetti di Lynx

La distribuzione avviene soprattutto mediante campagne di phishing ma sono state osservate anche modalità brute force. Quando si guadagna accesso alla rete target, Lynx fa leva sulle credenziali amministrative per il movimento laterale. In sintesi, Lynx:

• Seleziona file o folder da esfiltrare
• Termina i processi e i servizi attivi che possono perturbare l’esecuzione e l’efficacia, inclusi i servizi dediti ai backup
• Cancella le shadow copy per rendere vano il ripristino dei dati
• Esfiltrazione e cifratura dei dati.

Da qui la successiva richiesta di riscatto e la potenziale pubblicazione online dei dati sottratti.

Gli insegnamenti da trarre e i rimedi

Con la collaborazione di Luigi Martire, Cyber Threat Intelligence & Research Leader, traiamo qualche considerazione di massima, suggerendo anche alcuni semplici accorgimenti per alzare gli scudi difensivi.

“Il modello Ransomware-as-a-Service (RaaS) ha rivoluzionato il panorama della minaccia informatica, democratizzando, se così si può dire, l’accesso a strumenti di attacco sofisticati. Si tratta essenzialmente di un modello di business che ha ripreso il Software-as-a-Service (SaaS), ma applicato al crimine. Questo ha portato a una proliferazione esponenziale di attacchi, con affiliati che si registrano a tali portali e scaricano i componenti malevoli di loro interesse”, chiosa Luigi Martire.

Le peculiarità di Lynx, in qualche modo, richiamano qualcosa di già visto: “Lynx si inserisce perfettamente in questo ecosistema RaaS, emergendo come una minaccia da monitorare con attenzione. La sua attack chain non si discosta molto da quella di altri gruppi, focalizzandosi tipicamente sull’ottenimento dell’accesso iniziale, spesso tramite vulnerabilità di servizi esposti online, spear-phishing, credenziali compromesse, o sfruttando credenziali precedentemente compromesse dai cosiddetti IAB (Initial Access Brokers), i quali hanno costruito un business malevolo completamente in questo ambiente.

Una volta entrati nei sistemi, gli operatori ransomware effettuano azioni manuali di intrusioni, tramite movimento laterale, elevazione di privilegi e, al momento cruciale, effettuano la esfiltrazione dei dati prima di procedere con la crittografia. La doppia estorsione è ormai la norma, e Lynx non fa eccezione, massimizzando la pressione sulla vittima. Inoltre, Lynx si distingue per aver prodotto un encryptor cross-platform particolarmente insidioso perché consente agli attaccanti di colpire con lo stesso strumento ambienti eterogenei che utilizzano Windows, Linux ed anche i virtualizzatori ESXi”, continua Luigi Martire.

Difendersi non è impossibile, fatta salva la sempre necessaria consapevolezza che gli utenti ereditano dall’opportuna formazione che deve essere impartita: “La prima linea di difesa risiede nel rafforzamento dell’accesso e dell’identità. Implementare l’ autenticazione a più fattori (MFA) è una misura non negoziabile, specialmente per l’accesso remoto (RDP, VPN) e per gli account privilegiati.

Parallelamente, è cruciale mantenere una gestione delle patch impeccabile, eliminando le vulnerabilità note che sono i vettori d’attacco preferiti per l’accesso iniziale. Le politiche di backup devono essere meticolose: i backup devono essere immutabili, crittografati e tenuti offline per impedire che vengano compromessi durante l’attacco.

Infine, la formazione del personale resta il caposaldo che non stanca mai ripetere. Un programma di security awareness continuo, che simuli attacchi di phishing, riduce drasticamente la probabilità di successo dell’ingegneria sociale”, conclude l’esperto.