Atores de ameaças usam RDP comprometido para implantar Lynx Ransomware após excluir backups – Against Invaders

Atores de ameaças usam RDP comprometido para implantar Lynx Ransomware após excluir backups - Against Invaders

Um sofisticado ator de ameaças orquestrou um ataque de ransomware em vários estágios que durou nove dias, aproveitando credenciais comprometidas do Remote Desktop Protocol (RDP) para se infiltrar em uma rede corporativa, exfiltrar dados confidenciais e implantar o ransomware Lynx em uma infraestrutura crítica.

O ataque foi iniciado com um login RDP bem-sucedido usando credenciais pré-comprometidas, um indicador crítico de que o agente da ameaça obteve detalhes de autenticação válidos por meio de um corretor de acesso inicial, malware de roubo de credenciais ou senhas reutilizadas de violações de dados anteriores.

A intrusão demonstra uma abordagem metódica que combina atividade prática no teclado com ferramentas legítimas para reconhecimento e movimento lateral.

Notavelmente ausentes estavam quaisquer tentativas de autenticação malsucedidas, sugerindo que o invasor possuía credenciais funcionais antes de lançar o ataque.

Dez minutos após o acesso inicial, o agente da ameaça escalou privilégios conectando-se a um controlador de domínio usando credenciais separadas de administrador de domínio comprometido.

Essa rápida mudança para uma infraestrutura privilegiada revela a preparação do invasor e o acesso a vários conjuntos de credenciais.

Uma vez no controlador de domínio, o agente da ameaça estabeleceu persistência criando três novas contas de usuário com nomes que imitam contas legítimas do sistema: “administratr”, “Lookalike 1” e “Lookalike 2”.

Todas as três contas foram configuradas com senhas que não expiram e adicionadas a grupos de segurança privilegiados, incluindo Administradores de Domínio, garantindo acesso duradouro mesmo que as credenciais iniciais fossem descobertas.

Reconhecimento Sistemático de Rede

Nos seis dias seguintes, o agente da ameaça conduziu extensas reconhecimento usando SoftPerfect Network Scanner configurado com credenciais de administrador de domínio.

O scanner foi meticulosamente configurado para enumerar compartilhamentos de arquivos, estações de trabalho e infraestrutura de rede em todo o ambiente.

Complementando essa ferramenta, o invasor implantou o NetExec, um utilitário de exploração de rede, para realizar pulverização de senhas e enumeração de SMB na porta 445, identificando com êxito vários controladores de domínio, hipervisores e servidores de arquivos.

O Netscan também tinha teclas de atalho padrão habilitadas para Área de Trabalho Remota e Gerenciamento de Computador, mapeadas para CTRL + R e CTRL + M.

As atividades de reconhecimento foram intercaladas com visitas a servidores de backup, infraestrutura de hipervisores e dispositivos de rede, incluindo firewalls e dispositivos VPN.

No sexto dia, o agente da ameaça teve como alvo vários servidores de arquivos, usando 7-Zip para compactar arquivos confidenciais de compartilhamentos de rede em arquivos antes de enviá-los para temp.sh, um serviço temporário de compartilhamento de arquivos.

Numerosas visitas ao portal de upload correlacionaram-se com a criação de vários arquivos grandes, confirmando a exfiltração de quantidades substanciais de dados.

Console de gerenciamento Microsoft com o snap-in Usuários e computadores do Active Directory (dsa.msc), permitindo navegar e manipular objetos do AD.

O ataque atingiu seu clímax no nono dia, quando o agente da ameaça se conectou a servidores de backup via RDP e executou uma estratégia devastadora em duas frentes.

Primeiro, usando o console do Veeam Backup & Replication, eles excluíram tarefas de backup existentes e removeram backups do banco de dados de configuração, eliminando efetivamente as opções de recuperação da organização.

Esta ação é fundamental para os operadores de ransomware, pois elimina a capacidade da vítima de restaurar sistemas sem pagar o resgate.

Imediatamente após a destruição do backup, o agente da ameaça implantou Ransomware lince executável “w.exe” em vários servidores de backup e arquivos.

Infraestrutura e Atribuição

O ransomware foi executado com parâmetros especificando diretórios de destino (unidades E:), modo de criptografia rápida (5% dos arquivos) e supressão de notas de resgate da impressora.

O agente da ameaça usou o atalho aberto ‘As Web (HTTP)’ na GUI do Netscan para visualizar os portais da web dos dispositivos no navegador.

O tempo até o ransomware (TTR) desde o acesso inicial até a criptografia foi de aproximadamente 178 horas, distribuído por nove dias corridos, permitindo tempo suficiente para o reconhecimento, mantendo a segurança operacional.

Todas as atividades dos invasores originaram-se de endereços IP hospedados na infraestrutura da Railnet LLC, identificada como uma fachada para a Virtualine, uma empresa com sede na Rússia. à prova de balas provedor de hospedagem conhecido por permitir atividades cibercriminosas.

O uso consistente do mesmo nome de host “DESKTOP-BUL6K1U” em todas as sessões e a abordagem metódica sugerem um único operador ou uma equipe bem coordenada com preparação detalhada e acesso à rede pré-existente.

Essa intrusão ressalta a importância crítica de impor a autenticação multifatorial em endpoints RDP, mantendo a redundância de backup off-line abrangente e implementando práticas robustas de higiene de credenciais para evitar o comprometimento inicial.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.