برز برنامج الفدية Lynx كثغرة أمنية رئيسية تهدد بيئات الشركات، حيث كشفت الاختراقات الحديثة عن استراتيجيات هجوم متطورة تركز على استخراج البيانات وتدمير البنية التحتية. يتضمن هذا الحملة البرمجية الخبيثة استخدام بيانات اعتماد مخترقة مع تخطيط دقيق لضمان أقصى تأثير على الشبكات المستهدفة.
يراقب باحثو الأمن هذه التهديدات المتطورة باستمرار مع قيام المهاجمين بصقل تقنياتهم وتوسيع نطاق استهدافهم عبر مختلف الصناعات.
فهم استراتيجيات برنامج الفدية Lynx
تكشف سلسلة الهجوم عن نهج منهجي حيث يكتسب الجهات الفاعلة الخبيثة وصولاً أولياً عبر بيانات اعتماد بروتوكول سطح المكتب البعيد (RDP) المخترقة، والتي من المحتمل أن تكون مصدرها برامج سرقة المعلومات، أو خروقات البيانات، أو وسطاء الوصول الأولي.
ما يميز هذه الحملة هو مرحلة الإعداد المطولة قبل نشر برنامج الفدية. يقضي المهاجمون أياماً في الاستطلاع، ورسم خرائط البنية التحتية للشبكة، وإنشاء أبواب خلفية مستمرة بدلاً من التسرع في تشفير الأنظمة فوراً.
هذا النهج المحسوب يزيد بشكل كبير من فرص نجاحهم من خلال تحديد الأهداف ذات القيمة العالية وتأمين طرق الهروب قبل إطلاق إنذارات الكشف.
حدد محللو الأمن في The DFIR Report أن الاختراق بدأ في أوائل مارس 2025 عندما نجح جهة فاعلة خبيثة غير معروفة في تسجيل الدخول إلى نقطة نهاية RDP متصلة بالإنترنت باستخدام بيانات اعتماد صالحة.
تجدر الإشارة إلى عدم وجود دليل على محاولات حشو بيانات الاعتماد أو القوة الغاشمة سبقت هذا الوصول، مما يشير إلى أن المهاجمين كانوا يمتلكون بيانات اعتماد حساب شرعية منذ البداية.
في غضون دقائق من الوصول الأولي، بدأ الجهة الفاعلة الخبيثة في إجراء استطلاع للنظام باستخدام أدوات سطر الأوامر ونشر برنامج SoftPerfect Network Scanner لإجراء مسح أوسع للشبكة.
تطور الهجوم بسرعة مع انتقال الجهة الفاعلة الخبيثة جانبياً إلى متحكم المجال في غضون عشر دقائق فقط باستخدام حساب مسؤول مخترق منفصل.
استغلال صلاحيات المسؤولين
بمجرد التمركز على متحكم المجال، أنشأ المهاجم حسابات وهمية متعددة مصممة لتقليد المستخدمين الشرعيين، مثل “administratr”، مضيفين إياها إلى مجموعات متميزة بما في ذلك مسؤولي المجال.
كما قام المهاجمون بتثبيت برنامج AnyDesk للوصول عن بعد لإنشاء استمرارية، مما يضمن الوصول المستمر حتى لو تم اكتشاف بيانات الاعتماد الأصلية الخاصة بهم.
تدمير النسخ الاحتياطي كمتجه للهجوم
أحد الجوانب المقلقة بشكل خاص لحملة برنامج الفدية Lynx هذه هو التدمير المتعمد للبنية التحتية للنسخ الاحتياطي قبل نشر البرمجيات الخبيثة. بعد ستة أيام من عدم النشاط، عاد الجهة الفاعلة الخبيثة واستأنف عملياته من خلال إجراء هجمات رش كلمات المرور باستخدام NetExec.
قاموا بجمع منهجي للبيانات الحساسة من مشاركات الشبكة، وضغط هذه الملفات باستخدام 7-Zip قبل استخلاص الأرشيفات عبر temp.sh، وهي خدمة لمشاركة الملفات مؤقتة.
كانت مرحلة جمع البيانات هذه بمثابة إعداد لطريقة الابتزاز المزدوج، مما يسمح للمهاجمين بتهديد الضحايا بنشر البيانات إذا لم تدفع الفدية.
شملت المرحلة النهائية الحاسمة الاتصال مباشرة بخوادم النسخ الاحتياطي وحذف مهام النسخ الاحتياطي بشكل منهجي. من خلال إزالة نقاط استعادة النسخ الاحتياطي قبل نشر برنامج الفدية Lynx، أزال المهاجمون قدرة الضحايا على استعادة الملفات المشفرة بوسائل بديلة.
هذه الاستراتيجية تحول برنامج الفدية إلى أداة ابتزاز أكثر فعالية حيث لا يمكن للمؤسسات ببساطة الاستعادة من النسخ الاحتياطية.
بلغ إجمالي الوقت من الاختراق الأولي إلى نشر برنامج الفدية حوالي 178 ساعة عبر تسعة أيام، مما سمح للمهاجمين بترتيب هجومهم بعناية وزيادة تعطيل المؤسسات عندما قام Lynx في النهاية بتشفير الأنظمة الحيوية عبر خوادم النسخ الاحتياطي والملفات المتعددة.