Il mondo del ransomware non conosce tregua, e ogni anno, ogni mese emergono nuove minacce più sofisticate e aggressive. Tra le ultime varianti che stanno facendo tremare le aziende statunitensi c’è Lynx, un ransomware che, sin dalla sua comparsa il 17 luglio 2024, ha dimostrato di essere una minaccia organizzata e altamente redditizia.

Chi colpisce Lynx?

Lynx non si accontenta di bersagli casuali. Questo gruppo criminale punta in particolare su settori critici come:

• Sanità
• Finanza
• Istruzione
• Immobiliare
• Manifattura

Con la sua strategia di doppia estorsione, Lynx non solo cifra i file delle vittime, ma minaccia anche di pubblicare i dati rubati sul proprio Dedicated Leak Site (DLS) se il riscatto non viene pagato. Questo metodo spinge molte aziende a cedere per paura di danni alla reputazione, sanzioni normative e perdita di fiducia da parte dei clienti.

Cosa rende Lynx diverso?

Ciò che distingue Lynx dagli altri ransomware non è solo la sua efficacia, ma anche la sua struttura altamente organizzata. Il gruppo funziona come un Ransomware-as-a-Service (RaaS), ma con una particolarità: solo gli attaccanti più esperti vengono accettati nel circuito.

Ecco alcune caratteristiche che rendono Lynx particolarmente pericoloso:

• Affiliati selezionati: solo cybercriminali qualificati possono unirsi al gruppo, garantendo attacchi mirati e ben eseguiti.
• Supporto avanzato: gli attaccanti più “redditizi” ricevono strumenti migliori e persino supporto tramite call center per intimidire le vittime.
• Sicurezza operativa elevata: Lynx utilizza canali cifrati, build personalizzate per ogni affiliato e aggiorna continuamente il proprio leak site per sfuggire alle autorità.

Analisi tecnica di un attacco Lynx

Uno dei modi migliori per studiare un ransomware è osservarlo in azione in un ambiente controllato. Grazie alla sandbox ANY.RUN, è stato possibile analizzare il comportamento di Lynx in dettaglio.

Una volta eseguito, Lynx modifica lo sfondo del desktop della vittima in nero e visualizza una nota di riscatto. Il messaggio ordina di scaricare il browser Tor per mettersi in contatto con gli hacker e ricevere le istruzioni per il pagamento.

Lynx inizia immediatamente a crittografare i file, cambiando le loro estensioni in .LYNX. Questo processo blocca completamente l’accesso ai dati senza la chiave di decrittazione.

Oltre ai file locali, il ransomware può colpire anche:

• Unità di rete montate
• Cartelle condivise
• Risorse specifiche connesse

Per rendere ancora più difficile la ripresa dell’attività senza pagare il riscatto, Lynx adotta alcune contromisure:

• Eliminazione delle copie shadow di Windows
• Cancellazione delle partizioni di backup
• Disabilitazione di strumenti di ripristino

Queste tecniche rendono quasi impossibile recuperare i dati senza pagare il riscatto, mettendo le vittime in una posizione di estrema vulnerabilità.

Come difendersi da Lynx

Non esiste una difesa perfetta contro il ransomware, ma adottare misure preventive può fare la differenza. Ecco alcuni consigli pratici:

1. Backup frequenti e offline: mantenere copie di sicurezza aggiornate e scollegate dalla rete.
2. Patch e aggiornamenti regolari: molti attacchi sfruttano vulnerabilità già note, quindi è essenziale tenere aggiornati software e sistemi operativi.
3. Segmentazione della rete: limitare l’accesso alle risorse critiche riduce la possibilità che l’infezione si diffonda.
4. Monitoraggio proattivo: soluzioni di sicurezza avanzate, come EDR (Endpoint Detection and Response), possono rilevare comportamenti sospetti prima che il danno sia fatto.
5. Formazione del personale: la maggior parte degli attacchi ransomware inizia con un’email di phishing. Sensibilizzare i dipendenti riduce il rischio di infezioni accidentali.

Lynx è solo l’ennesima dimostrazione di quanto il ransomware stia diventando sempre più sofisticato. Con operazioni altamente organizzate e tattiche sempre più efficaci, i cybercriminali riescono a infliggere danni enormi alle aziende, costringendole a scelte difficili.

L’unica vera difesa è una strategia di sicurezza proattiva, fatta di prevenzione, monitoraggio e una cultura aziendale attenta alle minacce informatiche. Perché, quando si tratta di ransomware, l’unico modo per vincere è non diventare una vittima.