Source: The DFIR Report — Enquête technique détaillée sur une intrusion aboutissant au déploiement de Lynx ransomware dans un environnement Windows/AD, avec mouvement latéral, exfiltration de données et sabotage des sauvegardes.

L’intrusion débute par un logon RDP réussi sur un hôte exposé, à l’aide d’identifiants déjà compromis (probablement via infostealer, réutilisation ou IAB). En 10 minutes, l’acteur passe sur un contrôleur de domaine avec un autre compte Domain Admin compromis, crée des comptes look‑alike (dont “administratr”) et les ajoute à des groupes privilégiés. Il installe AnyDesk pour la persistance (non réutilisé ensuite), cartographie l’infrastructure (Hyper‑V, partages) via SoftPerfect NetScan, puis fait une pause.

Six jours plus tard, il revient, relance NetScan, télécharge NetExec pour une énumération SMB, navigue dans les partages et collecte des fichiers sensibles, qu’il compresse avec 7‑Zip puis exfiltre vers temp.sh (URI /upload). Neuf heures après, il se reconnecte depuis une autre IP liée à Railnet LLC/Virtualine et étend sa reconnaissance (MMC, lusrmgr, secedit, Hyper‑V, AD, équipements réseau via l’option « As Web (HTTP) » de NetScan).

Au neuvième jour, l’acteur cible les serveurs de sauvegarde: connexion RDP, suppression de jobs Veeam via la console, puis déploiement de Lynx (binaire w.exe) sur serveurs de sauvegarde et de fichiers, avec des arguments tels que: –dir, –mode fast (≈5% d’un fichier), –verbose, –noprint. Le Time to Ransomware (TTR) est d’environ 178 heures sur 9 jours. Les activités de C2 se résument à des sessions RDP; AnyDesk a servi de persistance mais n’a pas été utilisé.

IOC principaux 🧩

  • IP RDP initiale: 195.211.190.189 (Railnet LLC/Virtualine)
  • IP RDP ultérieure: 77.90.153.30 (Railnet LLC/Virtualine)
  • Hostname observé côté attaquant: DESKTOP-BUL6K1U
  • Exfiltration: service temporaire temp.sh (URI /upload)
  • Binaire Lynx: w.exe — SHA-256: e2179046b86deca297ebf7398b95e4383e01df0155a539fe6d802ee9e9226d8c77fd96c907b36c1660deb223749a8ac151676d8924bc13aa59e6712a3c14a2df5237264a
  • Outils: SoftPerfect NetScan (netscan.exe — SHA-256: 517288e12c05a92e483e6d80b9136c19bc58c46851720680bb6d1b7016034c37), NetExec (nxc.exe — SHA-256: 224f8e346285d32a9491a0084da85a384a11e15e203badf67b1deed54155f02b7338b108)

TTPs (MITRE ATT&CK) 🎯

  • Valid Accounts (T1078), RDP (T1021.001), Remote Access Software (AnyDesk, T1219)
  • Domain/Local Account creation (T1136.002) et ajout à des groupes privilégiés (T1098.007)
  • Discovery: Network/Share/Remote System (T1046, T1135, T1018), System info/network (T1082, T1016), Query Registry (T1012), MMC/lusrmgr/secedit
  • Collection & Exfiltration: Archive via utility (7‑Zip, T1560.001), Exfiltration over web service (temp.sh, T1567)
  • Impact: Inhibit System Recovery (suppression jobs Veeam, T1490), Data Encrypted for Impact (T1486)

Article de type: rapport d’incident détaillant pas à pas l’intrusion, les outils, les IOCs et les TTPs, avec pour but principal la documentation technique de la chaîne d’attaque et de l’opération de chiffrement Lynx.

🔗 Source originale : https://thedfirreport.com/2025/11/17/cats-got-your-files-lynx-ransomware/