Hack Alerta

Operadores usam RDP comprometido para implantar ransomware Lynx e deletar backups

Por Redação Hack Alerta Publicado em 18/11/2025 05:02 Cyber ataques Tempo de leitura: 3 min

Análises forenses mostram uma campanha com ransomware Lynx em que invasores entram por RDP com credenciais válidas, movem-se lateralmente, exfiltram dados via temp.sh e, crucialmente, deletam jobs de backup antes de ativar a criptografia; a operação levou ~178 horas.

Relatórios de análise forense descrevem uma cadeia de ataque observada em intrusões com uso do ransomware Lynx em que invasores obtêm acesso inicial por credenciais RDP válidas, passam por reconhecimento e, após fase de preparação, apagam pontos de restauração antes de ativar a criptografia e/ou exfiltrar dados.

Descoberta e escopo

O caso investigado começa, segundo analistas citados, com um login bem-sucedido em um endpoint RDP exposto, ocorrido no início de março de 2025. Não houve evidência de ataques de força bruta ou credential stuffing antes do acesso, o que indica que as credenciais já estavam comprometidas (possíveis fontes citadas incluem infostealers, vazamentos de dados ou brokers de acesso inicial).

Etapas técnicas observadas

Dentro de minutos após o acesso inicial, o atacante executou reconhecimento usando utilitários de linha de comando e implantou o SoftPerfect Network Scanner para mapear a rede. Em cerca de dez minutos, houve movimento lateral para um domain controller usando outra conta de administrador comprometida. Os invasores criaram contas falsas (por exemplo, “administratr”) adicionadas a grupos privilegiados e instalaram software de acesso remoto AnyDesk para persistência.

Preparação para extorsão e destruição de backups

Após um período dormiente de aproximadamente seis dias, os operadores retornaram e executaram password spray com NetExec para ampliar acesso. Eles coletaram dados de shares de rede, compactaram arquivos com 7-Zip e exfiltraram os pacotes usando um serviço temporário (temp.sh), configurando-se para dupla extorsão. Antes da detonação do ransomware, os invasores conectaram-se a servidores de backup e removeram jobs de backup, eliminando pontos de recuperação.

Tempo e impacto

Do primeiro acesso à implantação do ransomware, o tempo total observado foi de aproximadamente 178 horas (nove dias), período em que os invasores mapearam, prepararam exfiltração e destruíram recovery points, aumentando a probabilidade de pagamento de resgate ao reduzir opções de recuperação alternativas.

Implicações para defesa

  • Bloquear acesso RDP público ou proteger com MFA e bastion hosts.
  • Monitorar contas privilegiadas e eventos de criação de contas/adição a grupos privilegiados.
  • Proteger servidores de backup com segmentação rigorosa e contas dedicadas não acessíveis a controladores de domínio comuns.
  • Implementar detecção de exfiltração e alertas sobre uso de serviços temporários de file sharing.
  • Revisar e testar planos de recuperação que considerem destruição deliberada de pontos de restauração.

Limitações das informações

Os relatórios não identificam vítimas específicas ou contagens agregadas de incidentes; detalhes mais precisos sobre variantes do payload Lynx usado também não são especificados nas fontes consultadas. As conclusões baseiam-se nas análises forenses publicadas e na cronologia observada para o caso descrito.

As informações acima foram compiladas a partir do relatório forense e do resumo técnico disponível publicamente; números e atribuições além dos citados não constam nas fontes.

Baseado em publicação original de Cyber Security News
Tags: #ransomware #lynx #rdp #backup-destruction #exfiltration #anydesk #netexec #7zip #temp-sh
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar