{
	"id": "bda91a75-e680-46af-a560-8db77cc16ff7",
	"created_at": "2026-04-06T00:13:03.156539Z",
	"updated_at": "2026-04-10T03:20:18.6561Z",
	"deleted_at": null,
	"sha1_hash": "015a36a2b95615b73478a7a90c00593760d5d2fa",
	"title": "Ransomware Lynx: saiba detalhes da operação e como mitigar essa ameaça",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 139688,
	"plain_text": "Ransomware Lynx: saiba detalhes da operação e como mitigar essa\r\nameaça\r\nBy Rebecca Bezerra\r\nPublished: 2025-03-26 · Archived: 2026-04-05 21:44:55 UTC\r\nPor Ícaro Cesar e Ismael Rocha: A crescente sofisticação dos ataques cibernéticos exige que empresas estejam\r\nsempre um passo à frente na proteção de seus dados. O Lynx Ransomware se destaca como uma das ameaças\r\nmais avançadas da atualidade, explorando vulnerabilidades para comprometer infraestruturas críticas.\r\nPara ajudar organizações a entender e mitigar esse risco, apresentamos o Ransomware Lynx sob três perspectivas\r\nessenciais: Estratégica, Tática e Operacional. Neste artigo, apresentamos os principais insights desse estudo,\r\ntrazendo uma visão completa sobre os métodos do malware, seus impactos e as melhores práticas para proteção.\r\nContinue a leitura e descubra como fortalecer sua defesa cibernética contra essa ameaça emergente!\r\nO ransomware continua sendo uma das maiores ameaças à segurança cibernética global, com ataques cada vez\r\nmais sofisticados e direcionados a empresas e instituições. Nos últimos anos, a frequência e a complexidade\r\ndessas investidas cresceram exponencialmente, e essa tendência se intensifica em 2025, com novas variantes\r\nexplorando vulnerabilidades inéditas.\r\nDentro desse cenário, o Ransomware Lynx se destaca como uma ameaça emergente, utilizando técnicas\r\navançadas de evasão e criptografia para tornar a recuperação dos sistemas afetados extremamente difícil. Seu\r\nimpacto já foi observado em diversos ataques documentados, reforçando a necessidade de estratégias de defesa\r\neficazes, monitoramento constante e resposta rápida a incidentes.\r\nPara aprofundar o conhecimento sobre essa ameaça, a equipe CTI-Purple Team da ISH Tecnologia realizou uma\r\nanálise detalhada do Ransomware Lynx, explorando seu funcionamento, vetores de ataque e recomendações de\r\nmitigação. Continue a leitura e descubra como proteger sua organização contra essa nova onda de ataques\r\ncibernéticos.\r\nSetores e regiões mais afetadas pela ameaça\r\nO Lynx Ransomware tem como alvo principal empresas que lidam com dados críticos e possuem\r\ninfraestruturas digitais essenciais para suas operações. Esse ransomware foca ataques em setores estratégicos,\r\nonde a interrupção de serviços pode causar grandes prejuízos operacionais e financeiros.\r\nPrincipais setores mais afetados pelo Ransomware Lynx:\r\nFinanceiro – Instituições bancárias e empresas de pagamentos digitais.\r\nManufatura – Indústrias que dependem de processos automatizados.\r\nArquitetura e Construção – Organizações com projetos e dados estratégicos.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 1 of 27\n\nEnergia – Infraestruturas críticas que garantem fornecimento elétrico e combustíveis.\r\nAlém de explorar vulnerabilidades em empresas de diferentes portes, o Ransomware Lynx tem alcance\r\nglobal, atingindo organizações em diversas regiões. Sua capacidade de se adaptar a diferentes ambientes\r\ndigitais amplia o potencial de lucro dos cibercriminosos, tornando essa ameaça ainda mais preocupante para\r\nempresas de todos os tamanhos.\r\nQuer saber mais sobre as táticas desse ransomware e como proteger sua empresa? Continue a leitura para entender\r\na abrangência global do Lynx e como mitigar os riscos.\r\nPaíses vítimas do Lynx Ransomware\r\nO Lynx Ransomware Group surgiu em meados de 2024 e tem sido amplamente reconhecido como uma evolução\r\ndo INC ransomware que surgiu em meados de 2023, operando por meio de um modelo Ransomware-as-a-Service.\r\nAtividades do Lynx desde seu surgimento\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 2 of 27\n\nEssa abordagem permite que afiliados utilizem sua infraestrutura e ferramentas para lançar ataques de forma\r\nrápida e em larga escala, sem a necessidade de desenvolver o malware do zero.\r\nComo já mencionado, o grupo tem direcionado seus ataques para setores considerados críticos, essa seleção de\r\nalvos se deve à sensibilidade dos dados e ao potencial de causar impactos significativos nas operações, fazendo\r\ncom que as vítimas se vejam pressionadas a pagar o resgate. Abaixo, podemos observar o website de Vazamentos\r\nde Dados das vítimas, onde ocorre o processo de dupla extorsão.\r\nLeak Site do Lynx\r\nDiversas empresas de grande porte já saíram na mídia como vítimas dos ataques do Lynx. Relatos de incidentes\r\nenvolvendo estas organizações demonstram a abrangência das operações, evidenciando como o grupo consegue\r\nalcançar empresas que atuam em mercados nacionais e internacionais, causando prejuízos não apenas financeiros,\r\nmas também à reputação dos envolvidos.\r\nAbaixo podemos observar um exemplo de dados vazados, com um alto preço de resgate, onde destaca-se a\r\ncategoria de dados vazados:\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 3 of 27\n\nExemplo de Vazamento no Leak Site do Lynx\r\nEmbora o grupo afirme evitar alvos considerados “socialmente importantes” (conforme podemos observar na\r\nimagem abaixo), como hospitais e órgãos governamentais, a visibilidade dos ataques e a divulgação de\r\ninformações sensíveis demonstram o potencial devastador de suas operações.\r\nA atuação do Lynx ressalta a necessidade de uma postura de defesa cibernética robusta, capaz de mitigar os riscos\r\ne proteger os dados críticos das organizações.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 4 of 27\n\nDiscurso de impressa do grupo\r\nModelo de negócio da ameaça\r\nO Lynx Ransomware opera no modelo Ransomware-as-a-Service (RaaS), permitindo que cibercriminosos\r\nafiliados utilizem uma infraestrutura pronta e constantemente atualizada para realizar ataques sem precisar\r\ndesenvolver o malware do zero.\r\nComo funciona o RaaS do Lynx?\r\nO grupo centraliza o desenvolvimento e manutenção do ransomware.\r\nAfiliados recebem um kit completo para lançar ataques.\r\nA plataforma inclui interfaces de gerenciamento de vítimas e suporte via rede Tor.\r\nO monitoramento dos ataques acontece em tempo real, maximizando a eficiência da operação.\r\nEssa abordagem acelera a expansão do ransomware, tornando-o mais acessível e perigoso. Enquanto os afiliados\r\nse concentram na execução dos ataques, o grupo responsável pelo Lynx garante atualizações constantes e suporte\r\ntecnológico, aumentando a sofisticação e a letalidade da ameaça.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 5 of 27\n\nModelo de RaaS com afiliados\r\nO Lynx Ransomware adota a perigosa estratégia de dupla extorsão, na qual os dados das vítimas são\r\ncriptografados e exfiltrados. Isso significa que, além de bloquear o acesso às informações, os cibercriminosos\r\nameaçam vazar ou vender os dados roubados, aumentando a pressão para o pagamento do resgate.\r\nPor que a dupla extorsão é tão eficaz?\r\nMaior chance de pagamento: As vítimas temem não apenas a perda dos dados, mas também a exposição\r\nde informações sigilosas.\r\nPressão psicológica e reputacional: Empresas afetadas podem sofrer danos irreparáveis à imagem e à\r\nconfiança de clientes e parceiros.\r\nLucros ampliados para cibercriminosos: O modelo gera ganhos expressivos tanto para os operadores do\r\nransomware quanto para seus afiliados.\r\nA dupla extorsão tem se tornado uma das táticas mais utilizadas por grupos de ransomware, tornando a proteção\r\ncontra vazamento de dados e criptografia maliciosa ainda mais crucial para empresas de todos os portes.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 6 of 27\n\nModelo de Dupla Extorsão\r\nO Lynx Ransomware opera com um rigoroso processo de seleção e monitoramento de afiliados, garantindo que\r\napenas operadores experientes tenham acesso à sua infraestrutura. Para incentivar ataques bem-sucedidos, o grupo\r\noferece uma participação expressiva nos lucros, chegando a 80% do valor do resgate.\r\nPor que esse modelo fortalece o Ransomware Lynx?\r\nAlto incentivo financeiro: Afiliados altamente motivados devido aos grandes lucros.\r\nEscalabilidade do ataque: Expansão rápida da ameaça sem necessidade de novos desenvolvedores.\r\nMaior eficiência operacional: O grupo central mantém o ransomware atualizado enquanto os afiliados\r\nexecutam os ataques.\r\nEsse modelo de Ransomware-as-a-Service (RaaS) garante a resiliência e escalabilidade do Lynx, tornando-o\r\numa das ameaças mais lucrativas e persistentes do cenário cibernético.\r\nAnálise do Lynx Ransomware\r\nNesta seção iremos explorar as principais características do Lynx Ransomware. Abaixo, podemos observar o fluxo\r\nmacro da execução do Lynx Ransomware.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 7 of 27\n\nFalta de presença e ofuscação\r\nO Lynx Ransomware se diferencia de outras variantes por não utilizar técnicas de ofuscação em seu código,\r\ntornando sua análise mais acessível para pesquisadores de segurança. Com ferramentas simples, como o ‘strings’,\r\né possível extrair informações valiosas sobre seu funcionamento, sem a necessidade de técnicas avançadas de\r\nengenharia reversa.\r\nO que isso significa para especialistas em segurança?\r\nFacilidade na detecção: A ausência de ofuscação permite identificar padrões e indicadores de\r\ncomprometimento (IoCs) rapidamente.\r\nExtração de informações cruciais: Com ferramentas básicas, é possível acessar comandos, menus de\r\najuda e dados codificados.\r\nResposta mais ágil a incidentes: A identificação rápida do malware possibilita estratégias eficazes de\r\nmitigação.\r\nNa análise do Lynx Ransomware, foi possível extrair facilmente seu menu de ‘help’ e um bloco de string\r\ncodificado em Base64, demonstrando como sua falta de camuflagem facilita investigações.\r\nIdentificação de Strings valiosas pela falta de Ofuscação\r\nCom o uso do PowerShell somos capazes de decodificar o Base64, permitindo que tenhamos extraído a Nota de\r\nRansomware, conforme podemos observar abaixo.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 8 of 27\n\nDecodificação de Nota de Ransomware\r\nCom a flag –help, somos capazes de observarmos de fato o menu de ‘help’ do Lynx Ransomware, podemos assim\r\nobservar todas as capacidades que o Lynx pode implementar em sua execução.\r\nMenu de ajuda do Lynx\r\nEngenharia reversa do Lynx Ransomware\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 9 of 27\n\nA partir desta seção, analisamos de forma técnica utilizando Engenharia Reversa para analisar as principais\r\ncapacidades do Lynx. Abaixo podemos observar que a função main, também não há nenhuma ofuscação de\r\nalteração de fluxo do malware, sendo assim bem fácil de seguir o seu fluxo.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 10 of 27\n\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 11 of 27\n\nFunção ‘Main’ do Lynx Ransomware\r\nDecodificação de BASE64 da nota do Ransomware\r\nApós checar se o Lynx foi executado com algum argumento (as flags descritas acima), o Lynx realiza o processo\r\nde decodificação do bloco de dados em Base64, conforme vimos anteriormente e anexo do ID da Vítima na Nota\r\nde Ransomware.\r\nFunções de decodificação e construção da Nota de Ransomware\r\nAbaixo, podemos observar que o Lynx não implementa nenhuma técnica de ofuscação de API, utilizando de\r\nmaneira clara para seus propósitos. No caso abaixo, o Lynx utiliza o CryptStringToBinaryA para realizar o\r\nprocesso de decode da Nota de Ransomware.\r\nFunção de decodificação Base64 por meio de WinAPIs\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 12 of 27\n\nAbaixo podemos observar a função, que adiciona o ID da Vítima à Nota de Ransomware (após a decodificação da\r\nNota de Ransomware em Base64) identificado para esta amostra como “66ed20b7c8dfe0f702f199dd“.\r\nFunção de adição do ID da vítima na Nota de Ransomware\r\nExecução paralela de criptografia via threads\r\nApós isso, o Lynx irá executar uma Thread independente para criptografar os arquivos, enquanto executa as\r\ncapacidades indicadas pelas flags utilizadas para executá-lo. Abaixo, podemos observar o uso da criação de uma\r\nnova Thread por meio da API CreateThread, e tendo como endereço de início do que será executado\r\nnesta Thread a função de criptografia, na qual será utilizado o algoritmo AES.\r\nCriação de Thread para criptografia paralela\r\nAbaixo, podemos observar o fluxo da função principal que implementa o algoritmo de criptografia de arquivos\r\natravés de um loop.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 13 of 27\n\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 14 of 27\n\nLoop de criptografia\r\nTambém fomos capazes de identificar o algoritmo, por conta da identificação das constantes referente à tabela S-Box do AES, conforme podemos observar abaixo:\r\nConstantes do S-Box do AES\r\nMontagem de discos “ocultos” para aumentar o impacto\r\nO Lynx Ransomware adota técnicas avançadas para localizar e criptografar discos ocultos no sistema, tornando\r\na recuperação de dados ainda mais difícil para as vítimas. Ao ser executado com a flag --load-drives , o\r\nmalware inicia um processo automatizado para detectar backups escondidos, impedindo que os usuários\r\nrestaurem suas informações.\r\nComo funciona essa técnica?\r\nIdentificação de discos ocultos: O Lynx usa as APIs FindFirstVolumeW e\r\nGetVolumePathNamesForVolumeNameW para localizar unidades escondidas.\r\nMontagem automática: O ransomware percorre um array de possíveis volumes, montando cada um deles.\r\nCriptografia de dados: Após a montagem, os discos são criptografados, eliminando qualquer\r\npossibilidade de recuperação manual.\r\nEssa abordagem aumenta significativamente o impacto do ataque, pois neutraliza backups armazenados em\r\nunidades ocultas, forçando a vítima a considerar o pagamento do resgate.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 15 of 27\n\nArray de letras para montagem de disco\r\nEm sequência, o código executa um loop neste array, com o objetivo de tentar montar cada um destes possíveis\r\nDiscos no sistema.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 16 of 27\n\nLoop de montagem de discos para futura  criptografia\r\nImplementação não comum da exclusão do Volume Shadow Copy\r\nO Lynx Ransomware adota uma técnica avançada para excluir backups do Volume Shadow Copy (VSS) sem\r\nutilizar os binários nativos do Windows, dificultando a detecção por soluções de segurança. Em vez de comandos\r\ntradicionais como vssadmin delete shadows , o Lynx manipula o tamanho do VSS para zero por meio da API\r\nDeviceIoControl, eliminando completamente os pontos de restauração do sistema.\r\nPor que essa técnica é eficaz?\r\nEvita detecção por ferramentas de segurança que monitoram comandos tradicionais de exclusão de\r\nbackup.\r\nImpossibilita restauração manual, forçando a vítima a buscar alternativas mais custosas.\r\nAumenta a taxa de sucesso do ransomware, já que as vítimas perdem o acesso a seus dados sem chance\r\nde recuperação.\r\nAo remover silenciosamente os backups do sistema, o Lynx maximiza o impacto do ataque e pressiona as\r\nvítimas a pagar o resgate. Essa abordagem reforça a necessidade de estratégias de backup offline e soluções\r\navançadas de segurança para evitar perdas irreversíveis.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 17 of 27\n\nImplementação de técnica de exclusão do VSS via WinAPI\r\nAssim, o Lynx implementa de maneira peculiar a técnica de Impacto Inhibit System Recovery [T1490] do MITRE\r\nATT\u0026CK, de maneira que evade qualquer tentativa de implementar uma detecção através de Logs.\r\nCriação e configuração do Wallpaper padrão\r\nO Lynx Ransomware adota uma estratégia visual para intimidar as vítimas e reforçar a pressão pelo\r\npagamento do resgate. Caso a flag --no-background não seja utilizada, o malware altera automaticamente o\r\nwallpaper do sistema, exibindo a Nota de Ransomware na tela do usuário.\r\nComo funciona essa técnica?\r\nCriação dinâmica do wallpaper: O Lynx gera um arquivo chamado background-image.jpg na pasta\r\nTemporária do Windows.\r\nUso de APIs para escrita da imagem: O ransomware escreve a nota de resgate na imagem antes de\r\ndefini-la como fundo de tela.\r\nImpacto psicológico imediato: A vítima é confrontada visualmente com a exigência do resgate assim que\r\nacessa o computador.\r\nEssa abordagem aumenta a sensação de urgência e diminui o tempo de resposta das vítimas, tornando-as mais\r\npropensas a considerar o pagamento. A alteração do wallpaper também sinaliza claramente a infecção,\r\nreforçando a necessidade de estratégias proativas de defesa contra o Lynx Ransomware.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 18 of 27\n\nCriação dinâmica de um Bitmap para a criação do Wallpaper\r\nBasicamente, o fluxo acima irá criar um Wallpaper preto tendo a Nota de Ransomware centralizada na imagem, do\r\ntamanho exato da tela de Desktop do dispositivo infectado. Após criar o Wallpaper, o Lynx modifica a Chave de\r\nRegistro HKU\\\u003cUserSID\u003e\\Control Panel\\Desktop\\Wallpaper para forçar a configurar o Wallpaper padrão do\r\ndispositivo, por meio da API RegOpenKeyW e RegSetValueExW.\r\nAlteração do Wallpaper padrão do dispositivo infectado\r\nAbaixo, podemos observar a tela do dispositivo infectado após a execução desta técnica.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 19 of 27\n\nWallpaper criado dinamicamente configurado pelo Lynx\r\nEnvio de nota através das impressoras locais\r\nUma capacidade interessante e única do grupo, é o envio de jobs para Impressoras locais da Nota de Ransomware\r\ndo Lynx, através das APIs OpenPrinter e StartDocPrinterW.\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 20 of 27\n\nScan de Impressoras Locais e Impressão de Nota de Ransomware\r\nPor meio desta técnica, o adversário acrescenta um fator psicológico que pode aumentar o impacto e induzir o\r\ncliente a ter mais disposição para realizar o pagamento pelos dados.\r\nMITRE ATT\u0026CK – TTPs\r\nMapeamento Tático do Lynx Ransomware segundo MITRE ATT\u0026CK\r\nO Lynx Ransomware utiliza diversas técnicas de evasão, descoberta e impacto para maximizar os danos e\r\ndificultar a recuperação do sistema. A tabela abaixo apresenta um resumo das principais táticas e técnicas\r\nidentificadas, com base na matriz MITRE ATT\u0026CK:\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 21 of 27\n\nTática ID Técnica Descrição\r\nDefense\r\nEvasion\r\nT1140\r\nDeobfuscate/Decode\r\nFiles or Information\r\nCom o objetivo de dificultar a análise estática, o\r\nLynx codifica a nota de resgate em Base64 e realiza\r\nsua decodificação de forma dinâmica.\r\nDiscovery T1083\r\nFile and Directory\r\nDiscovery\r\nUtiliza APIs do Windows para percorrer\r\nrecursivamente diretórios e identificar arquivos para\r\ncriptografia. Evita arquivos com extensões .exe ,\r\n.msi e .lynx , além dos diretórios Program\r\nFiles , Program Files (x86) e AppData .\r\nDiscovery T1082\r\nSystem Information\r\nDiscovery\r\nColeta informações do sistema, como a quantidade\r\nde núcleos da CPU, com o objetivo de otimizar a\r\ncriação de múltiplas threads.\r\nDiscovery T1135\r\nNetwork Share\r\nDiscovery\r\nEnumera diretórios compartilhados na rede,\r\nampliando o impacto ao criptografar recursos\r\ndisponíveis em outros dispositivos.\r\nDiscovery T1057 Process Discovery\r\nDetecta e, se configurado com a flag --stop-processes , encerra processos específicos durante a\r\nexecução do ataque.\r\nImpact T1486\r\nData Encrypted for\r\nImpact\r\nUtiliza o algoritmo AES para criptografar os\r\narquivos do sistema, exigindo pagamento de resgate\r\npara a restauração dos dados.\r\nImpact T1491.001\r\nInternal Defacement:\r\nWallpaper\r\nAltera o wallpaper da máquina comprometida para\r\nexibir a nota de resgate, deixando claro que o\r\nsistema foi infectado.\r\nImpact T1490\r\nInhibit System\r\nRecovery\r\nRemove silenciosamente cópias de sombra (Volume\r\nShadow Copy), dificultando a restauração do\r\nsistema sem pagamento de resgate.\r\nImpact T1489 Service Stop\r\nSe configurado com a flag --kill , finaliza\r\nserviços e processos específicos para facilitar a\r\ncriptografia de arquivos em uso.\r\nMalware Behavior Catalog (MBC)\r\nAnálise Comportamental do Lynx Ransomware segundo o MBC (Malware Behavior Catalog)\r\nA seguir, apresentamos um mapeamento das táticas e técnicas utilizadas pelo Lynx Ransomware com base no\r\ncatálogo MBC (Malware Behavior Catalog). Este levantamento visa destacar as ações executadas pela ameaça em\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 22 of 27\n\ndiferentes fases de sua operação maliciosa:\r\nTática Técnica Descrição\r\nAnti-Static\r\nAnalysis\r\nObfuscated Files or\r\nInformation::Encoding –\r\nStandard Algorithm\r\nO Lynx codifica a nota de resgate em Base64 para\r\ndificultar a análise estática e realiza a decodificação de\r\nforma dinâmica.\r\nCryptography Encrypt Data::AES\r\nUtiliza o algoritmo Rijndael/AES para criptografar os\r\narquivos da vítima.\r\nCollection Screen Capture::WinAPI\r\nCaptura informações sobre as dimensões da tela com o\r\nobjetivo de gerar o wallpaper da nota de resgate.\r\nDiscovery System Information Discovery\r\nColeta informações do sistema, como o número de\r\nnúcleos da CPU, para otimizar o uso de threads\r\nparalelas.\r\nDiscovery File and Directory Discovery\r\nPercorre o sistema recursivamente usando APIs do\r\nWindows para localizar arquivos a serem criptografados.\r\nEvita arquivos com extensões .exe , .msi e .lynx ,\r\nalém dos diretórios Program Files , Program Files\r\n(x86) e AppData .\r\nFile System Create/Write/Delete File\r\nCria notas de resgate, criptografa arquivos e altera suas\r\nextensões para .LINX em loops contínuos.\r\nProcess Create Thread\r\nUtiliza múltiplas threads para executar tarefas paralelas,\r\nevitando que a amostra fique limitada a uma única\r\natividade.\r\nOperating\r\nSystem\r\nRegistry::Set Registry Value\r\nAltera a chave de registro responsável pelo wallpaper\r\npara exibir a nota de resgate.\r\nOperating\r\nSystem\r\nWallpaper\r\nDefine um novo wallpaper com a nota de resgate, como\r\ntática de intimidação e pressão psicológica.\r\nImpact Data Encrypted for Impact\r\nCriptografa os dados da vítima com o objetivo de exigir\r\npagamento pelo resgate.\r\nIndicadores de Comprometimento (IOCs)\r\nA ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes\r\nabertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo\r\nlistamos todos os Indicadores de Comprometimento (IoCs) relacionadas a análise do(s) artefato(s) deste relatório.\r\nIndicadores de Comprometimento (IoCs)\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 23 of 27\n\nTabela 1 – Indicadores de Comprometimento\r\nMD5 57f45c0738af9cd49c61984ea99f83ca\r\nSHA-1 5338cae40e5419a0567b8162c52484f390284f15\r\nSHA-256 b378b7ef0f906358eec595777a50f9bb5cc7bb6635e0f031d65b818a26bdc4ee\r\nNome do Arquivo b378b7ef0f906358eec595777a50f9bb5cc7bb6635e0f031d65b818a26bdc4ee.exe\r\nTabela 2 – Indicadores de Comprometimento\r\nMD5 65c0c7c9fe6bc1d5296447aae6c6c14c\r\nSHA-1 67217e5c6859afb1b2c736625fcf8bee9ad158cc\r\nSHA-256 4e5b9ab271a1409be300e5f3fd90f934f317116f30b40eddc82a4dfd18366412\r\nNome do Arquivo win.exe\r\nTabela 3 – Indicadores de Comprometimento\r\nMD5 0e521e0452f113cdf8b5c2fa6580db1f\r\nSHA-1 4182106fbec3d3fcecde5056b8246b6db317c2a3\r\nSHA-256 f71fc818362b1465fc1deb361de36badc73ac4dd9e815153c9022f82c4062787\r\nNome do Arquivo build.exe\r\nTabela 4 – Indicadores de Comprometimento\r\nMD5 ff458208c49836cdec92f0a4a7ba6afd\r\nSHA-1 c0b013fd8a38c0e7ffa8394de49f401ac7625773\r\nSHA-256 5da4f51e3ced3166336277bb04c32d0cd20f3e28db3d4f02826fee88b7583040\r\nNome do Arquivo windows.exe\r\nTabela 5 – Indicadores de Comprometimento\r\nMD5 a20886a5b378624d16972db66bd4e7e1\r\nSHA-1 89d84ab72b2e5116f4a46b19f4d8096a0a9c7a88\r\nSHA-256 31de5a766dca4eaae7b69f807ec06ae14d2ac48100e06a30e17cc9acccfd5193\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 24 of 27\n\nNome do Arquivo dd.exe\r\nTabela 6 – Indicadores de Comprometimento\r\nMD5 f16238836909d07f86154c5ccbade96a\r\nSHA-1 558f259459d0ed1b30cbeaee71aa46eb5e40b090\r\nSHA-256 3e68e5742f998c5ba34c2130b2d89ca2a6c048feb6474bc81ff000e1eaed044e\r\nNome do Arquivo build.exe\r\nTabela 7 – Indicadores de Comprometimento\r\nMD5 b1d81e8bbecccc547645d17395538a2d\r\nSHA-1 637728e7bd41bb100a5730547e53960d2bab9b29\r\nSHA-256 0315dbb793f855f154aa8d227151f1098bd9b580a4f85064648b85bac1321663\r\nNome do Arquivo 0315dbb793f855f154aa8d227151f1098bd9b580a4f85064648b85bac1321663.exe\r\nTabela 8 – Indicadores de Comprometimento\r\nMD5 146d350fd6271b4411714c630d8cda87\r\nSHA-1 f22bda5fa8a632e7d2dd2982300b4374168f8f32\r\nSHA-256 589ff3a5741336fa7c98dbcef4e8aecea347ea0f349b9949c6a5f6cd9d821a23\r\nNome do Arquivo 589ff3a5741336fa7c98dbcef4e8aecea347ea0f349b9949c6a5f6cd9d821a23.exe\r\nTabela 9 – Indicadores de Comprometimento\r\nMD5 571684f28ce1cf4d8236dbd46ef6f7f0\r\nSHA-1 d758d1f048ace4547dd3c22357aa2cf223426a50\r\nSHA-256 468e3c2cb5b0bbc3004bbf5272f4ece5c979625f7623e6d71af5dc0929b89d6a\r\nNome do Arquivo 468e3c2cb5b0bbc3004bbf5272f4ece5c979625f7623e6d71af5dc0929b89d6a.exe\r\nTabela 10 – Indicadores de Comprometimento\r\nMD5 d972bbbb3edb0e5ab5751b911f3dda17\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 25 of 27\n\nSHA-1 c632223f5f7a8a469bbf07eb017863bb83564b84\r\nSHA-256 571f5de9dd0d509ed7e5242b9b7473c2b2cbb36ba64d38b32122a0a337d6cf8b\r\nNome do Arquivo 11.exe\r\nRecomendações para manter seu negócio seguro\r\nAlém dos indicadores de comprometimento elencados acima pela ISH, poderão ser adotadas medidas visando a\r\nmitigação da infecção do referido malware, como por exemplo:\r\nMantenha sistemas e softwares atualizados\r\nGaranta que todos os sistemas operacionais, aplicativos e softwares de segurança estejam atualizados com\r\nos patches mais recentes. Isso corrige vulnerabilidades que podem ser exploradas por atacantes. \r\nImplemente soluções de segurança confiáveis\r\nUtilize ferramentas de segurança robustas, como antivírus e firewalls, para detectar e bloquear ameaças\r\npotenciais. \r\nRealize backups regulares\r\nMantenha backups atualizados e armazenados em locais seguros, preferencialmente offline ou em\r\nambientes isolados, para garantir a recuperação de dados sem necessidade de pagar resgates. \r\nEduque e treine funcionários\r\nPromova treinamentos regulares sobre segurança cibernética para que os colaboradores reconheçam e\r\nevitem e-mails de phishing e outras tentativas de ataque. \r\nRestrinja privilégios de acesso\r\nAdote o princípio do menor privilégio, garantindo que usuários tenham apenas as permissões necessárias\r\npara suas funções, limitando o potencial de movimentação lateral de atacantes na rede. \r\nMonitore e analise atividades da rede\r\nImplemente ferramentas de monitoramento para identificar atividades suspeitas ou não autorizadas,\r\npermitindo respostas rápidas a possíveis incidentes. \r\nDesenvolva um plano de resposta a incidentes\r\nEstabeleça e teste regularmente um plano de resposta a incidentes específico para ataques de ransomware,\r\nassegurando que sua equipe saiba como agir rapidamente para conter ameaças e restaurar operações. \r\nUtilize autenticação Multifator (MFA)\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 26 of 27\n\nImplemente MFA para adicionar uma camada extra de segurança, dificultando o acesso não autorizado,\r\nmesmo que credenciais sejam comprometidas. \r\nDesative serviços e protocolos não utilizados\r\nReduza a superfície de ataque desativando serviços e protocolos desnecessários que podem ser explorados\r\npor cibercriminosos. \r\nRealize avaliações de vulnerabilidades\r\nConduza avaliações regulares para identificar e corrigir pontos fracos em sua infraestrutura de TI antes que\r\nsejam explorados. \r\nReferências:\r\nHeimdall by ISH Tecnologia\r\nCTI Purple Team by ISH Tecnologia\r\nMITRE ATT\u0026CK\r\nRansomware.live\r\nSource: https://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nhttps://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/\r\nPage 27 of 27",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://ish.com.br/en/blog/ransomware-lynx-saiba-como-mitigar-essa-ameaca/"
	],
	"report_names": [
		"ransomware-lynx-saiba-como-mitigar-essa-ameaca"
	],
	"threat_actors": [],
	"ts_created_at": 1775434383,
	"ts_updated_at": 1775791218,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/015a36a2b95615b73478a7a90c00593760d5d2fa.pdf",
		"text": "https://archive.orkl.eu/015a36a2b95615b73478a7a90c00593760d5d2fa.txt",
		"img": "https://archive.orkl.eu/015a36a2b95615b73478a7a90c00593760d5d2fa.jpg"
	}
}