Lynx

报告编号: TIR-2026-0701-016 | 分类等级: TLP:AMBER | 发布日期: 2026年7月1日 | 情报来源: 多源交叉验证(OSINT + Unit 42 / Palo Alto Networks + SOCRadar + FortiGuard Labs + Acronis TRU + BlackBerry + Halcyon Q1-Q2-2025 + Ransom-DB)


一、执行摘要

Lynx(Trend Micro 追踪代号:Water Lalawag)是2024年7月首次出现的勒索软件组织,被广泛认为是 INC Ransom 的源码衍生变体。Palo Alto Networks Unit 42 分析确认,Lynx 约 50% 的函数与 INC Ransom 存在代码重叠,在 Linux ESXi 变体中重叠比例更高。两者使用相同的加密方法(AES-128 CTR + Curve25519),均采用命令行参数控制加密行为,并具备修改桌面壁纸和向打印机发送赎金通知的功能。

截至2026年6月,Lynx 已累计攻击超过 414 个确认受害者,覆盖制造业、商业服务、科技、运输等多个关键行业,地理范围遍及美国(218)、英国(28)、加拿大(22)、德国(17)、澳大利亚(16)等48个国家。2026年1月5日,该组织创下单日攻击20家机构的纪录。Lynx 采用 RaaS 模式运营,附属机构获得 80% 赎金收入。

关键发现

维度关键指标
组织规模414+ 受害者,48个国家
首要目标美国(218),英国(28),加拿大(22)
加密方式AES-128 CTR + Curve25519(ECDH 密钥交换)
代码来源INC Ransom 源码衍生(50%+函数重叠)
商业模式RaaS(附属80% / 核心20%)
加密模式fast(5%)/ medium(15%)/ slow(25%)/ entire(100%)
文件扩展名.lynx
单日峰值20家(2026.01.05)
解密可能性不存在(无公开解密工具)
当前状态活跃(Frontrunner Q1-Q2-2025)

威胁等级评估

评估维度等级说明
技术能力🔴 极高INC 源码继承、Curve25519 加密、多模式部分加密
运营成熟度🔴 高RaaS 模式、Tor 谈判门户、高频攻击节奏
攻击规模🔴 极高414+ 受害者,单日20家峰值
目标针对性🟠 高制造业/商业服务/科技为主
数据泄露风险🔴 极高双重勒索,单次窃取最高达4TB

二、威胁行为者画像

2.1 组织标识

属性
官方名称Lynx
别名Water Lalawag(Trend Micro)
组织类型RaaS(核心+附属)
活跃周期2024年7月 – 至今
代码来源INC Ransom 源码($300K 暗网出售后衍生)
地理归属俄语地区(推断)
攻击目标全球(美国为主)
动机经济利益

2.2 与 INC Ransom 的代码继承

┌──────────────────────────────────────────────────────┐
│           INC Ransom → Lynx 代码继承链                 │
├──────────────────────────────────────────────────────┤
│                                                        │
│  INC Ransom 核心源码                                    │
│  ├── 2024.03 以 $300,000 在 RAMP 论坛出售              │
│  ├── 出售者:salfetka(关联 Nokoyawa/JSWORM/Karma)    │
│  │                                                      │
│  ├──→ Lynx(2024.07 出现)                             │
│  │    ├── 50%+ 函数重叠                                │
│  │    ├── 相同加密方法(AES-128 CTR + Curve25519)     │
│  │    ├── 相同命令行参数控制                             │
│  │    ├── 相同壁纸修改/打印机勒索信功能                 │
│  │    └── Linux ESXi 变体重叠比例更高                   │
│  │                                                      │
│  └──→ Sinobi(另一源码衍生)                            │
│                                                        │
└──────────────────────────────────────────────────────┘

三、归因分析

3.1 地理归属

证据类型详情置信度
INC 继承源码来自 INC Ransom(俄语地区)
加密方法Curve25519 + AES-128 CTR(与 INC 一致)
工具链SoftPerfect NetScan、Restic 等(与 INC 一致)中-高

四、技术能力评估

4.1 加密方案

属性
对称加密AES-128 CTR
非对称加密Curve25519(ECDH 密钥交换)
密钥派生SHA-512 哈希共享密钥 → AES 密钥
加密模式fast(5%)/ medium(15%)/ slow(25%)/ entire(100%)
文件扩展名.lynx
勒索信README.txt
元数据加密 AES 密钥作为 marker 追加到文件尾部

4.2 加密流程

1. 生成 ECC 密钥对(Curve25519)
2. 通过 ECDH 密钥交换生成共享密钥
3. SHA-512 哈希共享密钥 → 派生 AES 密钥
4. AES-128 CTR 模式加密文件数据
5. AES 密钥用攻击者 Curve25519 公钥加密
6. 加密后的 AES 密钥追加到文件尾部

4.3 系统修改行为

行为技术细节
壁纸修改HKCU\Control Panel\Desktop\Wallpaper%TEMP%\background-image.jpg
勒索信桌面/ProgramData/PerfLogs 投放 README.txt
打印机攻击利用 Windows Fax Service(FXSSVC.exe)发送赎金通知
VSS 删除vssadmin / wbadmin 删除卷影副本
图标替换ProgramData\Microsoft\Device Stage\Task\ 创建自定义 .ico

五、攻击链分析

5.1 初始访问

技术MITRE ATT&CK详情
钓鱼邮件T1566.001鱼叉式钓鱼附件
漏洞利用T1190面向公众应用漏洞
IAB 购买T1195初始访问经纪人
InfostealerT1588凭证窃取(19%受害者关联)

5.2 执行与持久化

技术MITRE ATT&CK详情
PowerShellT1059.001恶意脚本执行
有效账户T1078被盗凭证横向移动

5.3 凭证窃取

技术MITRE ATT&CK详情
LSASS 转储T1003.001内存凭证提取

5.4 横向移动

技术MITRE ATT&CK详情
RDPT1021.001远程桌面
SMBT1021.002Windows 管理共享

5.5 数据外传

技术MITRE ATT&CK详情
Web 服务T1567云存储外传
备用协议T1048非标准协议传输
ResticT1567合法备份工具滥用

5.6 防御规避与影响

技术MITRE ATT&CK详情
禁用安全工具T1562.001发现安全软件后尝试卸载
伪装T1036恶意进程伪装合法进程
删除卷影副本T1490阻止恢复
数据加密T1486AES-128 CTR + Curve25519
壁纸修改T1491.001赎金信息展示

六、受害者分析

6.1 规模与地理分布

指标
确认受害者414+
覆盖国家48个
首要国家美国(218)、英国(28)、加拿大(22)、德国(17)、澳大利亚(16)

6.2 行业分布

行业受害者数说明
商业服务81最高频
制造业79紧随其后
科技41IT 服务商
运输/物流29物流公司
建筑业27建筑公司

6.3 重大攻击事件

时间受害者影响
2024.12Electrica(罗马尼亚能源)运营中断,数据泄露
2025.01CONAD(意大利零售)内部文件和员工信息泄露
2026.01True Blue Environmental全部服务器加密,35GB+数据被盗
2026.01.05单日20家机构历史攻击峰值

七、RaaS 运营模式分析

7.1 组织架构

要素详情
分成比例附属80% / 核心20%
服务内容加密工具、泄露站点、运营支持、谈判门户
附属角色初始访问、横向移动、部署勒索软件
核心角色基础设施维护、泄露站管理、赎金谈判

八、IOC 完整列表

8.1 网络指标

类型说明
扩展名.lynx加密文件扩展名
文件README.txt勒索信
文件background-image.jpg壁纸文件(%TEMP%)
哈希6e65483764d7c25523a5bbef5be99eb42349eef39d5517c46b3a4af262a80cebLynx 二进制样本
Torlynxchatly4zludmhmi75jrwhycnoqvkxb4prohxmyzf4euf5gjxroad[.]onion谈判门户
Torlynxchatfw4rgsclp4567i4llkqjr2kltaumwwobxdik3qa2oorrknad[.]onion谈判门户
域名lynxblog.net泄露站

8.2 行为指标

  • 大量文件重命名为 .lynx 扩展名
  • vssadmin Delete Shadowswbadmin 命令
  • MSSQL/Exchange/Veeam 服务异常终止
  • 桌面壁纸被修改
  • 打印机自动打印赎金通知
  • 文件熵值 ≈ 7.99

8.3 攻击工具链

钓鱼 / 漏洞利用 / IAB 购买 / Infostealer 凭证
    ↓
PowerShell 执行 + 有效账户横向移动
    ↓
LSASS 转储(凭证窃取)
    ↓
SoftPerfect NetScan(网络发现)
    ↓
RDP / SMB(横向移动)
    ↓
Restic / 云存储(数据外传,最高4TB)
    ↓
Lynx 载荷(AES-128 CTR + Curve25519 加密 + 壁纸修改 + 打印机勒索信)

九、检测规则

9.1 Sigma 规则

规则 1:Lynx 卷影副本删除

title: Lynx Ransomware - Volume Shadow Copy Deletion
id: lx001-vss-deletion
status: experimental
description: 检测 Lynx 勒索软件删除卷影副本的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    CommandLine|contains|all:
      - 'vssadmin'
      - 'delete'
      - 'shadows'
  condition: selection
level: high
tags:
  - attack.defense_evasion
  - attack.t1490

规则 2:Lynx 壁纸修改

title: Lynx Ransomware - Desktop Wallpaper Modification
id: lx002-wallpaper-change
status: experimental
description: 检测 Lynx 修改桌面壁纸为赎金信息的行为
logsource:
  category: registry_event
  product: windows
detection:
  selection:
    TargetObject|contains: 'Control Panel\Desktop\Wallpaper'
    Details|contains: 'background-image.jpg'
  condition: selection
level: high
tags:
  - attack.impact
  - attack.t1491.001

规则 3:Lynx 打印机勒索信

title: Lynx Ransomware - Printer Ransom Note via Fax Service
id: lx003-printer-ransom
status: experimental
description: 检测通过 Windows Fax Service 向打印机发送赎金通知
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    ParentImage|endswith: '\FXSSVC.exe'
    CommandLine|contains: 'print'
  condition: selection
level: high
tags:
  - attack.impact
  - attack.t1491

9.2 YARA 规则

rule Lynx_Ransomware {
    meta:
        description = "检测 Lynx 勒索软件载荷"
        author = "Threat Intelligence Team"
        date = "2026-07-01"
        reference = "Water Lalawag / INC Ransom derivative"
    strings:
        $s1 = ".lynx" ascii
        $s2 = "README.txt" ascii
        $s3 = "Lynx Group" ascii
        $s4 = "background-image.jpg" ascii
        $s5 = "vssadmin delete shadows" ascii
        $s6 = "FXSSVC.exe" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        3 of ($s*) and $hex1
}

十、风险评估矩阵

风险维度评分说明
加密强度8/10AES-128 CTR + Curve25519,密码学强度高
传播能力8/10RaaS 80/20 分成,高频攻击节奏
规避能力7/10继承 INC 技术,伪装进程
数据泄露威胁9/10双重勒索,单次最高4TB
基础设施韧性7/10Tor 谈判门户,多泄露站
综合风险🔴 极高INC 源码衍生 + 单日20家峰值 + Frontrunner

十一、缓解建议

11.1 即时行动

  1. 封锁 Tor 出站:防火墙阻止 Tor 网络访问
  2. 监控 .lynx 扩展名:EDR 配置批量文件重命名检测
  3. 监控 VSS 操作:告警 vssadmin/wbadmin 异常调用
  4. 更新 IOC:将哈希和 .onion 域名加入拦截列表

11.2 短期加固

  1. 强制 MFA:RDP/VPN/邮件系统
  2. 网络分段:隔离备份系统
  3. 补丁管理:修复面向公众设备漏洞
  4. 最小权限:限制管理员横向移动

11.3 长期策略

  1. 行为检测:批量文件修改、服务终止、大规模出站传输
  2. 离线备份:不可变离线备份
  3. 威胁狩猎:LSASS 转储、SoftPerfect NetScan 痕迹

11.4 解密恢复路径

维度详情
解密器状态无公开解密工具
加密强度AES-128 CTR + Curve25519,密码学强度极高
建议优先从备份恢复;联系执法部门

十二、核心建议

  1. INC 源码扩散:$300K 源码出售催生了 Lynx 和 Sinobi,证明源码商业化加速威胁碎片化
  2. 高频攻击节奏:单日20家峰值表明自动化扫描与并发攻击能力
  3. 打印机勒索信:利用 Windows Fax Service 向打印机发送赎金通知是独特施压手段
  4. 部分加密模式:fast/medium/slow/entire 四级模式可配置,防御者需关注低比例加密
  5. MSP 威胁:托管服务提供商因客户网络访问能力成为高价值目标

十三、附录

附录 A:信息来源

编号来源日期
[1]Unit 42: Lynx Ransomware - INC Ransom Rebranding2024.10
[2]SOCRadar: Top 10 Ransomware Groups 20252026.01
[3]FortiGuard Labs: Lynx Technical Analysis2025
[4]Acronis TRU: Lynx Ransomware Evolution2025
[5]BlackBerry: Lynx Code Overlap with INC2025
[6]Halcyon: Q1-Q2-2025 Power Rankings2025
[7]Ransom-DB: Lynx Victim Statistics2026
[8]Trend Micro: Water Lalawag Tracking2025

附录 B:术语表

术语定义
Curve25519椭圆曲线 Diffie-Hellman 密钥交换算法
ECDHElliptic Curve Diffie-Hellman
部分加密仅加密文件部分内容(可配置百分比)
Water LalawagTrend Micro 对 Lynx 的追踪代号

附录 C:追踪计划

维度说明
组织状态活跃(Frontrunner Q2-2025)
INC 关联监控更多 INC 源码衍生变体
攻击频率关注单日攻击峰值趋势
解密工具关注是否有公开解密工具发布