A FortiGuard Labs tem acompanhado a evolução das variantes de ransomware através da sua base de dados e da comunidade Open Source Intelligence (OSINT). O mais recente relatório Ransomware Roundup destaca o Lynx como uma ameaça emergente, analisando a sua origem, impacto e potenciais alvos.
As primeiras amostras do ransomware Lynx foram identificadas em julho de 2023, quando foram submetidas para análise num serviço de verificação de ficheiros público. Esta descoberta coincide com outros relatos sobre a sua existência. A investigação da FortiGuard Labs revelou que o Lynx apresenta fortes semelhanças com o ransomware INC, detetado também em julho de 2023, mas com menos opções de execução. Os especialistas acreditam que o INC poderá ser um antecessor do Lynx. Até ao momento, foram identificadas variantes do Lynx apenas em ambientes Windows, ao contrário do INC, que também afeta sistemas ESXi.
Uma das principais características do Lynx é o seu maior controlo sobre o processo de encriptação. Tal como outras famílias de ransomware, tanto o Lynx como o INC encriptam ficheiros em máquinas Windows e modificam o fundo do ambiente de trabalho das vítimas para exibir a nota de resgate. Além disso, ambos tentam enviar a nota de resgate para as impressoras ligadas ao sistema comprometido.
Ainda não foi identificado o vetor de ataque utilizado pelo Lynx, mas os investigadores acreditam que não difere significativamente de outros grupos de ransomware. No entanto, o que distingue esta ameaça é a sua plataforma de data leak, onde são publicados dados roubados das vítimas. Até ao momento da publicação desta investigação, o site de data leak do Lynx listava 96 vítimas.
A análise da FortiGuard Labs revelou que as vítimas do Lynx estão distribuídas por 16 países, com os EUA a representarem mais de 60% dos casos. O Canadá e o Reino Unido aparecem em seguida, com cerca de 8% cada. O setor mais afetado é a indústria transformadora, com mais de 20% dos ataques registados, seguido pela construção, com um valor próximo.
Apesar de afirmar que evita atacar instituições governamentais, hospitais e organizações sem fins lucrativos devido ao seu papel essencial na sociedade, algumas das vítimas identificadas no site de data leak pertencem aos setores da saúde e da energia. Estas contradições levantam dúvidas sobre as verdadeiras intenções do grupo de ransomware Lynx e reforçam a necessidade de medidas de cibersegurança mais robustas para mitigar os riscos associados a estas ameaças.
