СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.11.2025
#ИБ#Инфра

Lynx: RDP-вторжение с уничтожением резервных копий и эскалацией привилегий

Вторжение, связанное с программой‑вымогателем Lynx, показало тщательно спланированную кампанию, направленную не только на шифрование данных, но и на устранение возможностей восстановления. Атака началась с успешного входа по протоколу RDP с использованием скомпрометированных учетных данных и завершилась развертыванием вымогателя после получения контроля над серверами резервного копирования.

Как произошёл взлом

Первичный доступ был получен через RDP с использованием действительных учетных данных. По анализу инцидента видно, что эти креденшалы, вероятно, были получены в результате работы стиллера (stealer) или за счёт повторного использования пароля после предыдущих утечек данных. Важно отметить, что в системе не было следов брутфорс‑атак или подстановки паролей — злоумышленник уже обладал легитимным доступом до начала активных действий.

Перемещение по сети и закрепление

После первоначального входа злоумышленник быстро развернул операции по латеральному перемещению:

  • Использована отдельная скомпрометированная учетная запись администратора домена для расширения контроля.
  • Созданы несколько учетных записей для имперсонации, имитирующих легитимных пользователей, которым присвоены повышенные привилегии в Active Directory.
  • Выполнялись команды через Windows Command Shell и PowerShell преимущественно в целях разведки и картирования сети.
  • Особое внимание было уделено инфраструктуре виртуализации и общим файловым ресурсам, где хранились конфиденциальные данные.

В течение примерно девяти дней злоумышленник систематически исследовал сеть и сохранял доступ, одновременно предпринимая шаги по сокрытию своей активности.

Инструменты и тактики

Для облегчения сканирования и перемещения использовались известные инструменты и утилиты:

  • SoftPerfect Network Scanner — сканирование сети;
  • Netexec — удалённое выполнение команд;
  • 7‑Zip — сжатие собранных файлов;
  • Служба временного обмена файлами, часто используемая киберпреступниками, для вывода данных из сети.

Такой набор указывает на продуманные усилия по сбору, фильтрации и эксфильтрации конфиденциальных файлов, находившихся на общих сетевых ресурсах.

Развертывание вымогателя и подрыв механизмов восстановления

Ключевой аспект атаки — целенаправленное получение контроля над инфраструктурой резервного копирования. После компрометации серверов резервного копирования злоумышленник:

  • удалил существующие задания резервного копирования, чтобы препятствовать восстановлению;
  • направленно доставил полезную нагрузку Lynx через RDP на рабочий стол скомпрометированной учетной записи администратора домена;
  • непосредственно взаимодействовал с программным обеспечением резервного копирования, чтобы саботировать варианты восстановления;
  • установил AnyDesk как службу на контроллере домена — однако дальнейшая активность в основном велась через RDP, без значимых следов последующего использования AnyDesk.

Атака демонстрирует тенденцию: злоумышленники не только шифруют данные, но и целенаправленно устраняют механизмы восстановления, чтобы повысить эффективность вымогательства.

Последствия и рекомендации

Итоги инцидента показывают типичную для современных группировок‑вымогателей стратегию: последовательное получение легитимных учетных данных, латеральное перемещение, сбор данных и уничтожение резервных копий перед шифрованием. Для уменьшения рисков и повышения устойчивости к подобным атакам рекомендуется:

  • внедрить многофакторную аутентификацию (MFA) для всех удалённых доступов, включая RDP;
  • ограничить использование учетных записей с административными привилегиями и отслеживать создание новых привилегированных аккаунтов в Active Directory;
  • регулярно проверять целостность и конфигурацию задач резервного копирования и хранить изолированные (air‑gapped) копии резервов;
  • внедрить мониторинг аномалий и аудит командной активности PowerShell и удалённых сессий;
  • обучать сотрудников правилам безопасности и минимизировать повторное использование паролей;
  • сегментировать сеть и ограничивать доступ к критическим ресурсам, включая инфраструктуру виртуализации и файловые шары.

Данный инцидент служит напоминанием: даже при отсутствии явных попыток брутфорса угрозы остаются высокими, если скомпрометированы действительные учетные данные. Комплексный подход к защите — архитектура доступа, мониторинг и резервирование — остаётся ключом к снижению ущерба от атак типа Lynx.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: