Lynx Team e la presunta etica di un operatore ransomware

“La motivazione principale di Lynx Ransomware è fondata su incentivi finanziari, con la chiara intenzione di evitare danni indebiti alle organizzazioni. Riconosciamo l’importanza delle considerazioni etiche nel perseguimento del guadagno finanziario e manteniamo una politica rigorosa contro l’attacco a istituzioni governative, ospedali o organizzazioni non profit, poiché questi settori svolgono ruoli vitali nella società.”

Questa è la traduzione della presentazione che l’operatore ransomware Lynx Team fa di sé stesso sul blog attivato per le comunicazioni e i leak.

La questione non è di poco conto, poiché quelli preservati dal gruppo sono alcuni fra i settori critici più esposti alla minaccia cyber e, in particolare, agli attacchi con finalità estorsive.

Alcuni mesi fa, ad esempio, le autorità americane hanno sottolineato che le organizzazioni sanitarie sono obiettivi di interesse per i criminali informatici a causa delle loro dimensioni, della dipendenza tecnologica, dell’accesso alle informazioni sanitarie personali e degli impatti unici derivanti dalle interruzioni dell’assistenza ai pazienti.

Inoltre, l’8 novembre si è tenuto un meeting del Consiglio di sicurezza delle Nazioni Unite sul tema delle minacce alla pace e alla sicurezza internazionali, centrato proprio sui ransomware. Fra i relatori, il capo della UN health agency ha dichiarato che gli attacchi ransomware agli ospedali e ai sistemi sanitari possono essere questioni di vita o di morte e rappresentare una seria minaccia per la sicurezza internazionale.

In effetti, nei suoi pochi mesi di attività, il gruppo ha preso di mira soprattutto aziende della manifattura e dei servizi professionali. Inoltre, fra le rivendicazioni compaiono anche realtà tecnologiche, della vendita al dettaglio, dell’edilizia e della finanza. Le aree geografiche impattate comprendono Stati Uniti, Europa, Regno Unito, Sudamerica e Australia.

Tuttavia, le intenzioni “etiche” dichiarate nel testo citato sembrerebbero parzialmente smentite almeno da due rivendicazioni, pubblicate ai danni di realtà statunitensi del settore healthcare. Si tratta dell’azienda biofarmaceutica LifeMine Therapeutics e dell’Hypertype Medical Transcription Service, che fornisce un servizio di trascrizione di qualità a pronto soccorso, ospedali, cliniche e studi medici. Evitare di colpire direttamente gli ospedali, infatti, non impedisce di procurare loro danni attraverso attacchi contro provider e soggetti terzi.

Lo studio della vittimologia di Lynx Team fornisce, inoltre, un dato che si porrebbe come ennesima conferma della fluidità e complessità caratterizzanti questo comparto del crimine informatico. Complessità emersa nei casi di Change Healthcare e di Transport for London e rimarcata anche nell’ENISA Threat Landscape 2024.

Una delle vittime segnalate ad agosto da Lynx, la canadese Pyle Wealth Advisory, è finita a distanza di pochi giorni anche fra le vittime di Medusa Team. Come spesso accade in casi del genere, è difficile stabilire se si sia trattato di due diverse violazioni o di un passaggio di consegne fra gli avversari.

La scoperta di Lynx Team risale a luglio 2024, quando è stato tracciato un successore del ransomware INC, chiamato appunto Lynx.

Lynx è un encryptor che viene distribuito attraverso e-mail di phishing, download malevoli o forum di hacking.

Il codice è scritto in C++. Per la cifratura vengono utilizzati gli algoritmi AES-128 in modalità CTR e Curve25519 Donna. Inoltre, viene sfruttata l’API Restart Manager RstrtMgr per migliorare le capacità di crittografia e massimizzare l’impatto sul sistema della vittima. Se non vengono forniti argomenti, il ransomware cifra di default tutti i file e le unità presenti sul sistema. Inoltre, elimina le copie shadow e le unità di partizione di backup. A tutti i file crittografati viene aggiunta l’estensione .lynx.

Al termine dell’operazione, sui desktop della macchina compromessa compare un file readme.txt che contiene il collegamento al sito Tor di Lynx e l’ID necessario per accedere al portale degli avversari.

Il codice sorgente del ransomware INC era in vendita nel mercato underground già a marzo 2024. Perciò si prevede la possibile emersione di altre minacce basate su di esso.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way, dal 2023 parte di Telsy.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence