One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8596246 |
| Date de publication | 2024-10-11 20:19:12 (vue: 2024-10-11 21:18:11) |
| Titre | Lynx Ransomware: un rebranding de Ransomware Inc Lynx Ransomware: A Rebranding of INC Ransomware |
| Texte | ## Instantané Des chercheurs de Palo Alto Networks ont découvert une nouvelle souche de ransomware nommée Lynx, qui est un changement de marque des ransomwares incontournables. ## Description Lynx a ciblé des organisations dans des secteurs tels que les services de vente au détail, l'immobilier, l'architecture et les services financiers et environnementaux, principalement aux États-Unis et au Royaume-Uni.Le ransomware, qui fonctionne sur un modèle Ransomware-as-a-Service (RAAS), s'engage dans une double extorsion en exfiltrant des données avant de les crypter et menace de fuir ou de vendre les données si la rançon n'est pas payée. Les acteurs de la menace ont répandu Lynx via des e-mails de phishing, des téléchargements malveillants et des forums de piratage, et il utilise AES-128 en mode CTR et des algorithmes de cryptage Donna Curve25519, ajoutant l'extension .Lynx aux fichiers cryptés.Le ransomware peut être personnalisé pour cibler des fichiers ou des répertoires spécifiques, terminer les processus et chiffrer les lecteurs réseau, et il utilise l'API Restart Manager pour cibler les fichiers utilisés par d'autres applications.Après le cryptage, il laisse tomber une note de rançon readme.txt. Une analyse technique montre que Lynx partage près de la moitié de ses fonctions avec des ransomwares Inc, avec une similitude de code de 48%, ce qui augmente à 70,8% lorsque l'on considère les fonctions communes aux deux familles de ransomware.Cela indique que les développeurs ont réutilisé une partie importante de la base de code Inc pour Lynx.Le groupe derrière Lynx dispose d'un site de fuite pour publier des données volées et prétend éviter de cibler des instituts gouvernementaux, des hôpitaux ou des organisations à but non lucratif. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Encourage users to use Microsoft Edge and other web browsers that support [Microsoft Defender SmartScreen](https://learn.microsoft.com/deployedge/microsoft-edge-security-smartscreen?ocid=magicti_ta_learndoc), which identifies and blocks malicious websites, y compris les sites de phishing, les sites d'arnaque et les sites qui contiennent des exploits et hébergent des logiciels malveillants. - Allumez [Protection en cloud-élieuse] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-cloud-protection-microsoft-defender-antivirus?ocid=Magicti_TA_LearnDoc) In Microsoft Defender Antivirusou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaque en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti_TA_LearnDoc).Empêcher les acteurs de la menace d'arrêter les services de sécurité. - Activer [Enquête et correction] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?ocid=Magicti_ta_LearnDoc) en mode automatisé complet pour permettre au défenseur du point final de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Utilisez [Discovery Discovery] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/device-discovery?ocid=Magicti_ta_learndoc) pour augmenter votre visibilité dans votre réseau en trouvant des dispositifs non gérés sur votre réseau et votre réseau et votre réseauLes intégrer à Microsoft Defender pour un point de terminaison. - Utiliser [Microsoft Defender Firewall] (https://support.microsoft.com/windows/turn-microsoft-defender-firewall-on-orof-ec0844f7-aebd-0583-67fe-601ecf5d774f?ocid=Magicti_TA_ABBReviatedmktugpa |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### **© 0583 128 2024 2024** 365/security/defender 496d 601ecf5d774f 67fe abbreviatedmktgpage accessed action activities actors ad3c advanced aebd aes after against age alert alerts algorithms all allow alto among analysis antivirus any api appending applications architecture are attack attacks automated avoid based been before behind block blocks both breaches browsers but c6a795a33c27/analystreport can card certain changes check claims classes cloud code codebase com/defender com/deployedge/microsoft com/en com/inc com/microsoft com/threatanalytics3/05658b6c com/windows/turn commands common communication compatibility components considering contain content copyright cover creations criterion ctr curve25519 customers customized data dc62 defender delivered deploy deployment description detections/hunting detects developers device devices directories discovered discovery distribution donna double downloaded downloads drives drops ec0844f7 edge effective emails employs enable encourage encrypt encrypted encrypting encryption encyclopedia endpoint endpoint/attack endpoint/automated endpoint/device endpoint/enable endpoint/prevent endpoints engages entire environmental equivalent estate evolving executable execution exfiltrating experience exploits extension extortion families features files financial finding firewall following forums from full functions general government group hacking half hardening has have hospitals host https://learn https://security https://support https://unit42 https://www huge human identifies immediate impact inc including increase increases indicates institutes intrusion investigation investigations issues its javascript known lateral launching leak learndoc learndoc#block learndoc#use learning limits list lynx lynx/ machine majority malicious malware malware: manager meet microsoft might mitigations mkv mode model monitored movement mtb name=ransom:linux/filecoder name=ransom:win32/inc named nearly network networks new newransomware non not note obfuscated ocid=magicti off onboarding operated operates organizations originating other overview paid palo paloaltonetworks part permission phishing portion possible potentially predominantly prevalence prevent prevention previously process processes product profits prohibited protection protections psexec publishing queries raas ransom ransom:linux/filecoder ransom:linux/inc ransom:win32/inc ransom:win32/lynxcrypt ransomware ransomware: rapidly readme real rebrand rebranding recommendations recommends reduce reducing reduction refer reference references remediation reproduction repurposed researchers reserved resolve restart retail rights rpc rule rules running scam scripts sectors security sell server service services settings shares should shows significant significantly similarity site sites smartscreen smb snapshot some specific spread status stolen stopping strain such support surface sweeping systems ta2 take tamper target targeting technical techniques terminate them thereof threat threatens threats: through tools trusted turn txt unit unknown unless unmanaged us/defender us/wdsi/threats/malware use used users uses utilize variants vbscript visibility volume web websites well when whenever which without wmi written your in |
| Tags | Ransomware Malware Tool Threat Technical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.