Lynx 勒索病毒的最新动态与分析

主要观察

Lynx 勒索病毒是一种新型的勒索服务RaaS，自2023年7月以来开始活动，可能源自于5月出售的 INC 勒索源代码。自首次出现以来，Lynx 鬼组织已经宣称超过20名受害者，主要集中在美国和英国的零售、房地产、金融服务等行业。Lynx 的源代码与 INC 勒索病毒有著48的相似度，功能上则达到708。

根据多个关于 Lynx 勒索病毒的分析，目前这个新兴的勒索病毒服务可追溯至2023年7月，其源代码可能与5月泄露出售的 INC 勒索病毒来源相关。根据 Nextron Systems 和 Palo Alto Networks 的 Unit 42 的分析，Lynx 鬼组织在其清晰与暗网网站上保持活跃，并声称他们不会将政府机构、医院或非营利组织列为目标。

Lynx 勒索病毒的目标及相似性分析

受害行业受害地区目标声明零售业美国、英国不针对政府机构、医院或非营利组织房地产美国、英国建筑业美国、英国金融服务美国、英国环保服务美国、英国

根据 Unit 42 的报告，至今 Lynx 勒索病毒已针对的受害者涵盖了各个行业，特别是在零售、房地产、建筑以及金融服务领域。值得注意的是，该团伙在网站上明言不会将政府机构、医疗单位或非营利组织作为攻击目标。

相似性研究

Rapid7 和 Unit 42 曾对 Lynx 和 INC 勒索病毒进行了二元差异分析，结果显示两者之间的整体相似度为48，而功能相似度达到708。Rapid7 表示，这一比较尚不足以完全证明 Lynx 源自于 INC 勒索病毒的源代码，但 Unit 42 则指出功能上的重叠“强烈暗示” Lynx 勒索病毒的开发者借用了 INC 的代码库。

INC 勒索的背景资讯

INC 勒索病毒在2023年8月首次出现，据报导已有至少64名受害者，且经常针对医疗组织进行攻击，包括 McLaren Health Care 和 City of Hope 的癌症医院运营机构。虽然包含 Linux 版本的 INC 勒索病毒在出售时已被列举，至今尚未发现 Lynx 勒索病毒的 Linux 版本。

clash pc

加密技术与运作方式

根据 Nextron 的报告，Lynx 勒索病毒集成了多种技术，具体包括：

终止进程和服务，例如含有 sql、veeam、backup、java 和 exchange 的项目。透过在当前进程标记上启用 SeTakeOwnershipPrivilege 来提高权限。使用 DeviceIoControl 删除影子复制档案。

该勒索病毒使用 AES128 CTR 模式和 Curve25519 Donna 加密算法来加密档案，并利用 Restart Manager API RstrtMgr 来加密当前正在使用或被