{"id":6397,"date":"2025-01-30T15:54:39","date_gmt":"2025-01-30T18:54:39","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=6397"},"modified":"2025-12-09T17:01:10","modified_gmt":"2025-12-09T20:01:10","slug":"lynx-ransomware-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/lynx-ransomware-001\/","title":{"rendered":"Lynx Ransomware 2025: como servicio eficaz"},"content":{"rendered":"<div class=\"header--blog-post\">\n<div class=\"header__wrapper\">\n<div class=\"header__post-info post-info\">\n<h2 class=\"header__text mb-xs-48 mb-64 mb-lg-96 mb-xl-96\">La gente de Group IB, observ\u00f3 c\u00f3mo opera el grupo Lynx Ransomware-as-a-Service (RaaS), detallando el flujo de trabajo de sus afiliados dentro del panel, su arsenal de ransomware multiplataforma, modos de cifrado personalizables y capacidades t\u00e9cnicas avanzadas.<\/h2>\n<div class=\"post-info__date mb-24 mb-lg-32 mb-xl-48\">\n<div class=\"body2\"><\/div>\n<\/div>\n<div class=\"post-info__image mb-24 mb-lg-32 mb-xl-48\"><picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/blog-banner-without-title-min-9.png.webp\" type=\"image\/webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"webpexpress-processed aligncenter\" src=\"https:\/\/www.group-ib.com\/\" alt=\"\" width=\"648\" height=\"383\" data-no-lazy=\"\" title=\"\"><\/picture><\/div>\n<div class=\"post-info__tags\"><\/div>\n<\/div>\n<\/div>\n<\/div>\n<div id=\"blog-post-content\" class=\"blog-post-content\">\n<div class=\"blog-post-content__section--text\">\n<h2><\/h2>\n<p style=\"text-align: justify;\">El ransomware sigue siendo una de las ciberamenazas m\u00e1s rentables, con nuevas variantes y modelos de negocio que evolucionan m\u00e1s r\u00e1pido de lo que muchas organizaciones pueden responder. Impulsado por la expansi\u00f3n de<a href=\"https:\/\/www.group-ib.com\/\" target=\"_blank\" rel=\"noopener\">Ransomware como servicio (RaaS)<\/a>, la proliferaci\u00f3n de datos robados en <a href=\"https:\/\/www.group-ib.com\/resources\/knowledge-hub\/dedicated-leak-sites\/\" target=\"_blank\" rel=\"noopener\">Sitios de detecci\u00f3n de fugas dedicados (DLS)<\/a>y el aumento de las operaciones impulsadas por afiliados, estos ataques se han vuelto m\u00e1s generalizados y m\u00e1s sofisticados.<\/p>\n<p style=\"text-align: justify;\">El grupo Lynx RaaS se destaca por su plataforma altamente organizada, su programa de afiliados estructurado y sus s\u00f3lidos m\u00e9todos de cifrado. En este blog, ofrecemos una mirada exclusiva al panel de afiliados de Lynx, las comunicaciones internas y el arsenal t\u00e9cnico, revelando c\u00f3mo este ecosistema criminal organiza los ataques de ransomware y gestiona a las v\u00edctimas.<\/p>\n<h2 style=\"text-align: justify;\">Descubrimientos clave<\/h2>\n<ul style=\"text-align: justify;\">\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\"><b>Panel y flujo de trabajo estructurados de RaaS:<\/b>\u00a0el panel de afiliados de Lynx est\u00e1 dividido en varias secciones (por ejemplo, &#8220;Noticias&#8221;, &#8220;Empresas&#8221;, &#8220;Chats&#8221;, &#8220;Informaci\u00f3n&#8221; y &#8220;Filtraciones&#8221;), cada una de las cuales cumple una funci\u00f3n clara. Los afiliados pueden configurar perfiles de v\u00edctimas, generar muestras de ransomware personalizadas e incluso gestionar cronogramas de fugas de datos dentro de una \u00fanica interfaz f\u00e1cil de usar.<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\"><b>Arsenal de ransomware multiplataforma:<\/b>\u00a0Lynx ofrece a sus afiliados un completo \u201carchivo todo en uno\u201d, que contiene archivos binarios para entornos Windows, Linux y ESXi y que abarca una variedad de arquitecturas (ARM, MIPS, PPC, etc.). Este enfoque multiarquitectura garantiza una amplia compatibilidad y maximiza el impacto de los ataques en redes heterog\u00e9neas.<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\"><b>Caracter\u00edsticas de los afiliados y doble extorsi\u00f3n:<\/b>\u00a0los afiliados reciben un incentivo con una participaci\u00f3n del 80 % de las ganancias del rescate, lo que refleja una estrategia competitiva basada en el reclutamiento. El panel de Lynx incluye un sitio de filtraci\u00f3n dedicado (DLS) donde los datos robados se exponen p\u00fablicamente si no se pagan los rescates, lo que agrega una presi\u00f3n cr\u00edtica sobre las v\u00edctimas para que cumplan.<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\"><b>T\u00e9cnicas de cifrado personalizables:<\/b>\u00a0Lynx ha a\u00f1adido recientemente varios modos de cifrado: &#8220;r\u00e1pido&#8221;, &#8220;medio&#8221;, &#8220;lento&#8221; y &#8220;completo&#8221;, lo que ofrece a los afiliados la libertad de ajustar el equilibrio entre velocidad y profundidad del cifrado de archivos. El uso de Curve25519 Donna y el cifrado AES-128 pone de relieve el enfoque de Lynx en la criptograf\u00eda s\u00f3lida y probada.<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\"><b>Reclutamiento y verificaci\u00f3n de antecedentes profesionales:<\/b>\u00a0las publicaciones de reclutamiento del grupo en foros clandestinos enfatizan un estricto proceso de verificaci\u00f3n para los pentesters y los equipos de intrusi\u00f3n capacitados, lo que resalta el \u00e9nfasis de Lynx en la seguridad operativa y el control de calidad. Tambi\u00e9n ofrecen &#8220;centros de llamadas&#8221; para las v\u00edctimas de acoso y soluciones de almacenamiento avanzadas para los afiliados que ofrecen constantemente resultados rentables.<\/li>\n<\/ul>\n<h3 style=\"text-align: justify;\">\u00bfA qui\u00e9n le puede interesar?<\/h3>\n<ul style=\"text-align: justify;\">\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Analistas de ciberseguridad y equipos de seguridad corporativa<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Analistas de malware<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Especialistas en inteligencia de amenazas<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Investigadores cibern\u00e9ticos<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Equipos de respuesta ante emergencias inform\u00e1ticas (CERT)<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Investigadores de las fuerzas del orden<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Fuerzas policiales cibern\u00e9ticas<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/threat-actor-profile-min-2.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/threat-actor-profile-min-2.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-36393 webpexpress-processed entered lazyloaded aligncenter\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/threat-actor-profile-min-2.png\" alt=\"\" width=\"595\" height=\"341\" data-lazy-src=\"https:\/\/www.group-ib.com\/\" data-ll-status=\"loaded\" title=\"\"><\/picture><\/p>\n Lynx\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/number-of-attacks-by-industry-min-1.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/number-of-attacks-by-industry-min-1.png.webp\" \/><\/picture>\n<p>El sitio de filtraci\u00f3n dedicado (DLS) del ransomware Lynx sirve como plataforma donde los atacantes publican anuncios sobre ataques y divulgan datos filtrados de sus v\u00edctimas.<\/p>\n<div id=\"attachment_36349\" class=\"wp-caption aligncenter\" style=\"width: 613px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/1-min-64.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/1-min-64.png.webp\" \/><\/picture>\n Figura 1. Captura de pantalla de un sitio de fuga dedicado (DLS) del ransomware Lynx.\n<p id=\"caption-attachment-36349\" class=\"wp-caption-text\">\n<\/div>\n<h2>Dentro del grupo de ransomware Lynx<\/h2>\n<p>El 8 de agosto de 2024, un usuario llamado \u201csilencer\u201d inici\u00f3 un programa de afiliados del ransomware Lynx como tema en el popular foro clandestino de la dark web \u201cRAMP\u201d.<\/p>\n<div id=\"attachment_36350\" class=\"wp-caption aligncenter\" style=\"width: 605px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/2-min-69.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/2-min-69.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-36350 webpexpress-processed entered lazyloaded\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/2-min-69.png\" alt=\"Figura 2. Captura de pantalla del perfil de usuario \u201csilencer\u201d en el foro RAMP.\" width=\"605\" height=\"114\" aria-describedby=\"caption-attachment-36350\" data-lazy-src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/2-min-69.png\" data-ll-status=\"loaded\" data-lazy- title=\"\"><\/picture>\n<p id=\"caption-attachment-36350\" class=\"wp-caption-text\">Figura 2. Captura de pantalla del perfil de usuario \u201csilencer\u201d en el foro RAMP.<\/p>\n<\/div>\n<h3><strong>Informaci\u00f3n del programa de reclutamiento de afiliados:<\/strong><\/h3>\n<p>El grupo de ransomware Lynx ha publicado una publicaci\u00f3n de reclutamiento dirigida a equipos de pruebas de penetraci\u00f3n con experiencia.<\/p>\n<p>La publicaci\u00f3n proporciona una descripci\u00f3n detallada de las capacidades, herramientas y expectativas del grupo para los posibles colaboradores, lo que indica una operaci\u00f3n criminal estructurada y profesionalizada.<\/p>\n<div id=\"attachment_36351\" class=\"wp-caption aligncenter\" style=\"width: 581px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/3-min-71.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/3-min-71.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36351\" class=\"wp-caption-text\">Figura 3. Capturas de pantalla de una publicaci\u00f3n de Lynx que promociona su ransomware como servicio en el foro RAMP.<\/p>\n<\/div>\n<p>Lo que sigue es una traducci\u00f3n del tema publicado por Lynx, del ruso al ingl\u00e9s:<\/p>\n<p>Invitamos a equipos de pentesting con experiencia a unirse al equipo Lynx.<br \/>\nNos especializamos en ataques a la infraestructura empresarial.<\/p>\n<p>### Funcionalidad del Locker:<br \/>\n~ Algoritmo de cifrado confiable (x25519 + AES);<br \/>\n~ Dirigir el locker a directorios\/archivos espec\u00edficos;<br \/>\n~ Matar servicios\/procesos por m\u00e1scara;<br \/>\n~ Capacidad de interrumpir el proceso de cifrado sin da\u00f1ar la estructura del archivo cifrado;<br \/>\n~ Eliminar instant\u00e1neas, limpiar la papelera de reciclaje, etc.;<br \/>\n~ Montar discos ocultos (bajo su propio riesgo, puede da\u00f1ar el gestor de arranque);<br \/>\n~ Terminaci\u00f3n autom\u00e1tica de procesos que usan archivos espec\u00edficos;<br \/>\n~ 18 compilaciones probadas para todos los sistemas operativos (Windows\/ESXi\/NAS);<br \/>\n~ Funci\u00f3n &#8220;Temporizador&#8221; disponible en todas las compilaciones nix;<br \/>\n~ Establecer un &#8220;mensaje del d\u00eda&#8221; como nota de rescate.<\/p>\n<p>### Funcionalidad del panel:<br \/>\n~ Constructor (las claves privadas no se almacenan en el panel; todos los descifrados de prueba se manejan estrictamente a trav\u00e9s del administrador);<br \/>\n~ Capacidad para crear publicaciones de blog de forma independiente y adjuntar archivos sin la participaci\u00f3n del administrador;<br \/>\n~ Gesti\u00f3n completa de publicaciones;<br \/>\n~ Acceso de invitado para sus traficantes.<\/p>\n<p>Ofrecemos una divisi\u00f3n 80\/20 a tu favor. T\u00fa manejas todas las negociaciones, la billetera es tuya y nosotros no interferimos en el proceso.<br \/>\nTenemos nuestro propio servicio de llamadas (\u201c\u043f\u0440\u043e\u0437\u0432\u043e\u043d\u201d) que acosar\u00e1 al objetivo (porcentaje adicional).<br \/>\nEn un futuro cercano, estamos completando una herramienta persistente que se proporcionar\u00e1 a nuestros equipos.<br \/>\nTambi\u00e9n tenemos un killer simple (no incluye soluciones para CrowdStrike o Sentinel).<br \/>\nEstamos listos para proporcionar almacenamiento de archivos a los equipos activos.<br \/>\nPodemos proporcionar materiales para el trabajo si muestra buenos resultados.<\/p>\n<p>A los equipos que no tengan reputaci\u00f3n se les ofrecer\u00e1n varias opciones para pasar la verificaci\u00f3n \u201cblanca\u201d.<br \/>\nNo trabajamos en la CEI, Ucrania, China, Ir\u00e1n o Corea del Norte, ni nos dirigimos a entidades responsables del sustento de civiles (asistencia sanitaria), instituciones gubernamentales, iglesias u organizaciones ben\u00e9ficas para ni\u00f1os (sin fines de lucro).<\/p>\n<p>Los especialistas de Group-IB lograron infiltrarse en el grupo Lynx RaaS aprovechando qTox para establecer contacto con el intruso. Esto les permiti\u00f3 acceder al panel de afiliados del grupo y obtener informaci\u00f3n importante sobre sus operaciones.<\/p>\n<div id=\"attachment_36352\" class=\"wp-caption aligncenter\" style=\"width: 599px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/4-min-69.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/4-min-69.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36352\" class=\"wp-caption-text\">Figura 4. Captura de pantalla de la p\u00e1gina de autenticaci\u00f3n del grupo de ransomware Lynx.<\/p>\n<\/div>\n<p>El panel de afiliados del grupo de ransomware Lynx incluy\u00f3 varias secciones, incluidas \u201cNoticias\u201d, \u201cChats\u201d, \u201cEmpresas\u201d, \u201cRellenos\u201d y \u201cFiltraciones\u201d, cada una con prop\u00f3sitos distintos dentro de las operaciones del grupo.<\/p>\n<h3>Noticias<\/h3>\n<p>La secci\u00f3n \u201cNoticias\u201d del panel de afiliados del grupo de ransomware Lynx funciona como un centro central para actualizaciones y anuncios. Proporciona a los afiliados informaci\u00f3n cr\u00edtica, como detalles sobre las nuevas funciones agregadas al locker o panel, as\u00ed como recursos esenciales como espejos actualizados para el blog del grupo y el panel de administraci\u00f3n.<\/p>\n<div id=\"attachment_36353\" class=\"wp-caption aligncenter\" style=\"width: 592px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/5-min-67.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/5-min-67.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36353\" class=\"wp-caption-text\">Figura 5. Captura de pantalla de la secci\u00f3n \u201cNoticias\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<p>A continuaci\u00f3n se muestra una tabla que detalla las actualizaciones observadas y las fechas de publicaci\u00f3n de la secci\u00f3n \u201cNoticias\u201d del panel de afiliados del grupo de ransomware Lynx:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"table\">\n<div class=\"table__wrapper\">\n<table>\n<tbody>\n<tr>\n<td><b>Fecha<\/b><\/td>\n<td><b>T\u00edtulo de la noticia:<\/b><\/td>\n<\/tr>\n<tr>\n<td>03.08.2024<\/td>\n<td>Espejos del panel de administraci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td>03.08.2024<\/td>\n<td>Espejos de blog<\/td>\n<\/tr>\n<tr>\n<td>03.08.2024<\/td>\n<td>Espejos en el panel de invitados<\/td>\n<\/tr>\n<tr>\n<td>03.08.2024<\/td>\n<td>Espejos de panel de corporaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td>22.09.2024<\/td>\n<td>Nuevas funciones<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>A continuaci\u00f3n se muestran capturas de pantalla de la secci\u00f3n \u201cNoticias\u201d, que muestran publicaciones relacionadas con los espejos de la infraestructura del grupo de ransomware Lynx.<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"gallery swiper gallery-swiper-432 swiper-fade swiper-initialized swiper-horizontal swiper-pointer-events swiper-autoheight swiper-watch-progress swiper-backface-hidden\">\n<div id=\"swiper-wrapper-7d5a92a1dc3bcf57\" class=\"swiper-wrapper\" aria-live=\"polite\">\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-visible swiper-slide-active aligncenter\" style=\"width: 598px;\" role=\"group\" aria-label=\"1 \/ 4\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.1-min-1.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.1-min-1.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 6. Capturas de pantalla de publicaciones en la secci\u00f3n \u201cNoticias\u201d del panel del ransomware Lynx, con fecha del 3 de agosto de 2024.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-next aligncenter\" style=\"width: 612px;\" role=\"group\" aria-label=\"2 \/ 4\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.2-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.2-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 6. Capturas de pantalla de publicaciones en la secci\u00f3n \u201cNoticias\u201d del panel del ransomware Lynx, con fecha del 3 de agosto de 2024.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption aligncenter\" style=\"width: 618px;\" role=\"group\" aria-label=\"3 \/ 4\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.3-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.3-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 6. Capturas de pantalla de publicaciones en la secci\u00f3n \u201cNoticias\u201d del panel del ransomware Lynx, con fecha del 3 de agosto de 2024.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption aligncenter\" style=\"width: 664px;\" role=\"group\" aria-label=\"4 \/ 4\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.4-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/6.4-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 6. Capturas de pantalla de publicaciones en la secci\u00f3n \u201cNoticias\u201d del panel del ransomware Lynx, con fecha del 3 de agosto de 2024.<\/p>\n<\/div>\n<\/div>\n<div class=\"swiper-pagination swiper-pagination-clickable swiper-pagination-bullets swiper-pagination-horizontal\"><\/div>\n<div class=\"swiper-button-next\" tabindex=\"0\" role=\"button\" aria-label=\"Diapositiva siguiente\" aria-controls=\"swiper-wrapper-7d5a92a1dc3bcf57\" aria-disabled=\"false\" data-rocket-lazy-bg-265f7c59-7aaa-408a-ae55-3eb4493ec2ed=\"loaded\"><\/div>\n<div class=\"swiper-button-prev swiper-button-disabled\" tabindex=\"-1\" role=\"button\" aria-label=\"Diapositiva anterior\" aria-controls=\"swiper-wrapper-7d5a92a1dc3bcf57\" aria-disabled=\"true\" data-rocket-lazy-bg-08b9d954-f842-4fcd-900c-7347b6ebf44b=\"loaded\"><\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>El siguiente texto se extrae de publicaciones que detallan las listas de espejos de la infraestructura maliciosa del grupo de ransomware Lynx:<\/p>\n<p>Espejos del panel de administraci\u00f3n:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>http:\/\/lynxad2seqpyu52lr5v7il4idasv23535a46s4bj65b3v7t5y6u5daqd.onion\/login\r\nhttp:\/\/lynx2m7xz73zpmlm5nddbokk6a55fh2nzjq2r5nk2hbdbk74iddqfiqd.onion\/login\r\nhttp:\/\/lynxcwuhva6qzlnj3m3qrcl6bgvnxpixg5vsikf53vutdf3ijuv2pxyd.onion\/login\r\nhttp:\/\/lynxcyys7c2np3b3er2wo6sufwoonmh6i3nykv53pst336c3ml4ycjqd.onion\/login\r\nhttp:\/\/lynxdehvlvrrtnhtpuy6bhrxffzvl5j7y7p3zl553slzq44lcb2jzkyd.onion\/login\r\nhttp:\/\/lynxikczcyposxfz5a7hxbqxilsrtx7zdzwmhk5wcb5qoatbv2suizid.onion\/login\r\nhttp:\/\/lynxroggpujfxy7xnlrz3yknphqgk4k5dy4rhaldgz2hpxyyy3ncuvad.onion\/login\r\n<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>Espejos de blog:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>http:\/\/lynxblogxstgzsarfyk2pvhdv45igghb4zmthnzmsipzeoduruz3xwqd.onion\/\r\nhttp:\/\/lynxblogco7r37jt7p5wrmfxzqze7ghxw6rihzkqc455qluacwotciyd.onion\/\r\nhttp:\/\/lynxblogijy4jfoblgix2klxmkbgee4leoeuge7qt4fpfkj4zbi2sjyd.onion\/\r\nhttp:\/\/lynxblogmx3rbiwg3rpj4nds25hjsnrwkpxt5gaznetfikz4gz2csyad.onion\/\r\nhttp:\/\/lynxblogoxllth4b46cfwlop5pfj4s7dyv37yuy7qn2ftan6gd72hsad.onion\/\r\nhttp:\/\/lynxblogtwatfsrwj3oatpejwxk5bngqcd5f7s26iskagfu7ouaomjad.onion\/\r\nhttp:\/\/lynxblogxutufossaeawlij3j3uikaloll5ko6grzhkwdclrjngrfoid.onion\/\r\n<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>Espejos del panel de invitados:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>http:\/\/lynxoifh5boac42m6xdoak6ne7q53sz7kgaaze7ush72uuetbnjg2oqd.onion\/login\r\nhttp:\/\/lynx25vsi4cxesh44chevu2qyguqcx4zrjsjd77cjrmbgn75xkv626yd.onion\/login\r\nhttp:\/\/lynxaeddweqscykez5rknrug6ui5znq4yoxof5qnusiatiyuqqlwhead.onion\/login\r\nhttp:\/\/lynxbk3nzrnph5z5tilsn3twfcgltqynaofuxgb5yt43vdu266z3vvyd.onion\/login\r\nhttp:\/\/lynxhwtifuwxs2zejofpagvzxf7p2l3nhdi3zlrap3y2wsn5hqyfeuid.onion\/login\r\nhttp:\/\/lynxjamasdeyeeiusfgfipfivewc3l3u34hyiiguhdyj776mh535l4ad.onion\/login\r\nhttp:\/\/lynxk7rmhe7luff3ed7chlziwrju34pzc5hm452xhryeaeulc3wxc3ad.onion\/login\r\n<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>Espejos corporativos:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>http:\/\/lynxchatly4zludmhmi75jrwhycnoqvkxb4prohxmyzf4euf5gjxroad.onion\/login\r\nhttp:\/\/lynxchatfw4rgsclp4567i4llkqjr2kltaumwwobxdik3qa2oorrknad.onion\/login\r\nhttp:\/\/lynxchatohmppv6au67lloc2vs6chy7nya7dsu2hhs55mcjxp2joglad.onion\/login\r\nhttp:\/\/lynxchatbykq2vycvyrtjqb3yuj4ze2wvdubzr2u6b632trwvdbsgmyd.onion\/login\r\nhttp:\/\/lynxchatde4spv5x6xlwxf47jdo7wtwwgikdoeroxamphu3e7xx5doqd.onion\/login\r\nhttp:\/\/lynxchatdy3tgcuijsqofhssopcepirjfq2f4pvb5qd4un4dhqyxswqd.onion\/login\r\nhttp:\/\/lynxchatdykpoelffqlvcbtry6o7gxk3rs2aiagh7ddz5yfttd6quxqd.onion\/login\r\nhttp:\/\/lynxch2k5xi35j7hlbmwl7d6u2oz4vp2wqp6qkwol624cod3d6iqiyqd.onion\/login\r\n<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>A continuaci\u00f3n se muestra una captura de pantalla de la secci\u00f3n &#8220;Noticias&#8221;, que destaca una publicaci\u00f3n sobre las nuevas funciones introducidas en el locker y el panel de afiliados del ransomware Lynx. Las actualizaciones incluyen mejoras en los modos de cifrado y la incorporaci\u00f3n de un dominio no Onion para el chat de la empresa, lo que permite el acceso a trav\u00e9s de navegadores web est\u00e1ndar.<\/p>\n<div id=\"attachment_36358\" class=\"wp-caption aligncenter\" style=\"width: 593px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/7-min-51.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/7-min-51.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36358\" class=\"wp-caption-text\">Figura 7. Captura de pantalla de una publicaci\u00f3n en la secci\u00f3n \u201cNoticias\u201d del panel del ransomware Lynx, con fecha del 22 de septiembre de 2024.<\/p>\n<\/div>\n<p>Texto del post:<\/p>\n<p>\u2013 Modos de cifrado (r\u00e1pido, medio, lento, completo)<br \/>\n\u2013 Modo silencioso<br \/>\n\u2013 Dominio para chat de empresa (acceso a trav\u00e9s de navegadores normales)<\/p>\n<h3>Empresas<\/h3>\n<p>La secci\u00f3n \u201cEmpresas\u201d ofrece una interfaz para que los afiliados gestionen a las v\u00edctimas. Esto incluye la creaci\u00f3n de perfiles de v\u00edctimas, la configuraci\u00f3n de informaci\u00f3n espec\u00edfica de las v\u00edctimas y la generaci\u00f3n de muestras de ransomware \u00fanicas adaptadas a cada v\u00edctima.<\/p>\n<div id=\"attachment_36359\" class=\"wp-caption aligncenter\" style=\"width: 605px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/8-min-51.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/8-min-51.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36359\" class=\"wp-caption-text\">Figura 8. Captura de pantalla de la secci\u00f3n \u201cEmpresas\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<p>El intruso puede configurar la siguiente informaci\u00f3n sobre cada v\u00edctima:<br \/>\n\u2013 Nombre de la empresa<br \/>\n\u2013 Enlace a zoominfo<br \/>\n\u2013 Pa\u00eds<br \/>\n\u2013 N\u00famero de empleados<br \/>\n\u2013 Ingresos del a\u00f1o en $<br \/>\n\u2013 El costo del caso en $<\/p>\n<div id=\"attachment_36360\" class=\"wp-caption aligncenter\" style=\"width: 562px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/9-min-40.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/9-min-40.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36360\" class=\"wp-caption-text\">Figura 9. Captura de pantalla de la interfaz para crear una nueva empresa en la secci\u00f3n \u201cEmpresas\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<p>Una vez creada una v\u00edctima, se genera autom\u00e1ticamente un chat dedicado a ella. A este chat se puede acceder a trav\u00e9s de la secci\u00f3n \u201cChats\u201d, lo que agiliza la comunicaci\u00f3n y la gesti\u00f3n de cada caso.<\/p>\n<div id=\"attachment_36361\" class=\"wp-caption aligncenter\" style=\"width: 533px;\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/10-min-44.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/10-min-44.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36361\" class=\"wp-caption-text\">Figura 10. Captura de pantalla del chat con la v\u00edctima en la secci\u00f3n \u201cEmpresas\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<p>Las capturas de pantalla que aparecen a continuaci\u00f3n muestran una v\u00edctima ya creada, incluidos breves detalles sobre la v\u00edctima y las acciones disponibles que se pueden realizar para cada empresa. Estas acciones incluyen descargar muestras del ransomware Lynx para la v\u00edctima, cambiar la contrase\u00f1a para acceder al chat, prohibir las negociaciones con la empresa, ajustar el monto del rescate o eliminar el chat por motivos de seguridad.<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"gallery swiper gallery-swiper-218 swiper-fade swiper-initialized swiper-horizontal swiper-pointer-events swiper-autoheight swiper-watch-progress swiper-backface-hidden\">\n<div id=\"swiper-wrapper-04488c2b1bf0f704\" class=\"swiper-wrapper\" aria-live=\"polite\">\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-visible swiper-slide-active\" role=\"group\" aria-label=\"1 \/ 3\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/11.1-min-1.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/11.1-min-1.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 11. Capturas de pantalla de la interfaz que muestra una empresa ya creada en la secci\u00f3n &#8220;Empresas&#8221; del panel del ransomware Lynx.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-next\" role=\"group\" aria-label=\"2 \/ 3\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/11.2-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/11.2-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 11. Capturas de pantalla de la interfaz que muestra una empresa ya creada en la secci\u00f3n &#8220;Empresas&#8221; del panel del ransomware Lynx.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption\" role=\"group\" aria-label=\"3 \/ 3\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/11.3-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/11.3-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 11. Capturas de pantalla de la interfaz que muestra una empresa ya creada en la secci\u00f3n &#8220;Empresas&#8221; del panel del ransomware Lynx.<\/p>\n<\/div>\n<\/div>\n<div class=\"swiper-pagination swiper-pagination-clickable swiper-pagination-bullets swiper-pagination-horizontal\"><\/div>\n<div class=\"swiper-button-next\" tabindex=\"0\" role=\"button\" aria-label=\"Diapositiva siguiente\" aria-controls=\"swiper-wrapper-04488c2b1bf0f704\" aria-disabled=\"false\" data-rocket-lazy-bg-265f7c59-7aaa-408a-ae55-3eb4493ec2ed=\"loaded\"><\/div>\n<div class=\"swiper-button-prev swiper-button-disabled\" tabindex=\"-1\" role=\"button\" aria-label=\"Diapositiva anterior\" aria-controls=\"swiper-wrapper-04488c2b1bf0f704\" aria-disabled=\"true\" data-rocket-lazy-bg-08b9d954-f842-4fcd-900c-7347b6ebf44b=\"loaded\"><\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>Archivo de descarga de afiliados que contiene m\u00faltiples compilaciones binarias para varias arquitecturas (x86, ARM, MIPS, PPC, ESXi, etc.). Esto permite a los afiliados implementar el ransomware ampliamente en diversos sistemas de la red corporativa de la v\u00edctima.<\/p>\n<p><b>Archivo todo en uno para afiliados<\/b><\/p>\n<p>En lugar de atacar una \u00fanica arquitectura, el grupo de ransomware Lynx ofrece a sus afiliados un paquete completo. Dentro de este archivo, hay ejecutables dise\u00f1ados para Linux x64, Linux ARM, MIPS, ESXi y m\u00e1s. Los afiliados pueden elegir la versi\u00f3n que necesiten para cualquier segmento espec\u00edfico de la red de la v\u00edctima.<\/p>\n<p><b>Cobertura arquitect\u00f3nica integral<\/b><\/p>\n<p>Las redes corporativas modernas rara vez son homog\u00e9neas, pueden incluir infraestructura virtualizada (ESXi) y servidores x86_64 que ejecutan Linux o Windows. Tener varias versiones listas aumenta la eficacia del ransomware, ya que puede ejecutarse en casi cualquier sistema.<\/p>\n<p><b>Compilaci\u00f3n cruzada sencilla<\/b><\/p>\n<p>Gracias a las cadenas de herramientas de compilaci\u00f3n cruzada vers\u00e1tiles de Linux, los atacantes pueden crear f\u00e1cilmente distintas variantes (por ejemplo, linux-armv7, linux-mips, linux-s390x). Estas cadenas de herramientas permiten la vinculaci\u00f3n est\u00e1tica y din\u00e1mica (musl vs. glibc) para que los binarios puedan ejecutarse sin problemas en entornos m\u00ednimos o en contenedores.<\/p>\n<p><b>Binarios Musl<\/b><\/p>\n<p>Algunos archivos binarios del archivo tienen una etiqueta -musl. Estos est\u00e1n vinculados con la biblioteca C musl, lo que los hace m\u00e1s port\u00e1tiles para entornos de borde y contenedores que podr\u00edan no tener instaladas las bibliotecas glibc est\u00e1ndar.<\/p>\n<p><b>Maximizar el alcance en ataques dirigidos<\/b><\/p>\n<p>Incluso en un ataque dirigido, el afiliado se beneficia de tener todas las versiones posibles. Una vez que se infiltran en una red, pueden descubrir qu\u00e9 arquitecturas est\u00e1n presentes, como hosts ESXi, sistemas basados \u200b\u200ben ARM o mainframes IBM, e implementar el binario correspondiente sin necesidad de volver a compilar ni buscar nada m\u00e1s.<\/p>\n<p>Lista de muestras en archivo:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>linux-arm64\r\nLinux-armv5-musl\r\nlinux-armv7\r\nLinux-ESXI\r\nlinux-ppc64le\r\nLinux-x64\r\nLinux-arm64-musl\r\nlinux-armv6\r\nlinux-armv7a\r\nLinux-mips\r\nLinux-riscv64\r\nLinux-x86\r\nlinux-armv5\r\nLinux-armv6-musl\r\nlinux-armv7l-musl\r\nLinux-Mipsel-LTS\r\nlinux-s390x\r\nventanas\r\n<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<h3>Charlas<\/h3>\n<p>La secci\u00f3n \u201cChats\u201d proporciona informaci\u00f3n sobre los chats creados para las negociaciones con las v\u00edctimas.<\/p>\n<div id=\"attachment_36365\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/12-min-33.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/12-min-33.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36365\" class=\"wp-caption-text\">Figura 12. Captura de pantalla de la secci\u00f3n \u201cChat\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<h3>Rellenos<\/h3>\n<p>La secci\u00f3n \u201cStuffers\u201d ofrece a los afiliados una interfaz simplificada para gestionar a sus subafiliados o miembros del equipo para realizar esfuerzos colaborativos. Los afiliados pueden agregar f\u00e1cilmente un nuevo \u201cstuffer\u201d asign\u00e1ndole un nombre de usuario y una contrase\u00f1a \u00fanicos, lo que permite un acceso seguro e individualizado para cada miembro del equipo.<\/p>\n<p>A continuaci\u00f3n se muestran capturas de pantalla que brindan una descripci\u00f3n general de c\u00f3mo aparece en el panel de afiliados:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"gallery swiper gallery-swiper-221 swiper-fade swiper-initialized swiper-horizontal swiper-pointer-events swiper-autoheight swiper-watch-progress swiper-backface-hidden\">\n<div id=\"swiper-wrapper-e68aed86eb49cc1f\" class=\"swiper-wrapper\" aria-live=\"polite\">\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-visible swiper-slide-active\" role=\"group\" aria-label=\"1 \/ 2\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/13-min-25.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/13-min-25.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 13. Capturas de pantalla de la interfaz para crear un stuffer o subafiliado en la secci\u00f3n &#8220;Stuffer&#8221; del panel del ransomware Lynx.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-next\" role=\"group\" aria-label=\"2 \/ 2\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/13.2-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/13.2-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 13. Capturas de pantalla de la interfaz para crear un stuffer o subafiliado en la secci\u00f3n &#8220;Stuffer&#8221; del panel del ransomware Lynx.<\/p>\n<\/div>\n<\/div>\n<div class=\"swiper-pagination swiper-pagination-clickable swiper-pagination-bullets swiper-pagination-horizontal\"><\/div>\n<div class=\"swiper-button-next\" tabindex=\"0\" role=\"button\" aria-label=\"Diapositiva siguiente\" aria-controls=\"swiper-wrapper-e68aed86eb49cc1f\" aria-disabled=\"false\" data-rocket-lazy-bg-265f7c59-7aaa-408a-ae55-3eb4493ec2ed=\"loaded\"><\/div>\n<div class=\"swiper-button-prev swiper-button-disabled\" tabindex=\"-1\" role=\"button\" aria-label=\"Diapositiva anterior\" aria-controls=\"swiper-wrapper-e68aed86eb49cc1f\" aria-disabled=\"true\" data-rocket-lazy-bg-08b9d954-f842-4fcd-900c-7347b6ebf44b=\"loaded\"><\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<h3>Fugas<\/h3>\n<p>La secci\u00f3n \u201cFugas\u201d permite a los afiliados crear y gestionar publicaciones sobre empresas que han sido atacadas pero que no han pagado el rescate. Los afiliados pueden programar estas publicaciones, personalizar el logotipo de la empresa atacada, seleccionar una empresa de la lista en la secci\u00f3n \u201cEmpresas\u201d, especificar un horario de publicaci\u00f3n, elegir una categor\u00eda de publicaci\u00f3n, a\u00f1adir una descripci\u00f3n de la fuga, generar una contrase\u00f1a y adjuntar archivos relevantes.<\/p>\n<p>A continuaci\u00f3n se muestran capturas de pantalla que muestran la interfaz del panel de afiliados para crear y programar publicaciones:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"gallery swiper gallery-swiper-112 swiper-fade swiper-initialized swiper-horizontal swiper-pointer-events swiper-autoheight swiper-watch-progress swiper-backface-hidden\">\n<div id=\"swiper-wrapper-d56895cf7f0b14bc\" class=\"swiper-wrapper\" aria-live=\"polite\">\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-visible swiper-slide-active\" role=\"group\" aria-label=\"1 \/ 2\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/14.1-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/14.1-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 14. Capturas de pantalla de la interfaz para programar una publicaci\u00f3n en la secci\u00f3n \u201cFugas\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<div class=\"swiper-slide gallery__item wp-caption swiper-slide-next\" role=\"group\" aria-label=\"2 \/ 2\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/14.2-min.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/14.2-min.png.webp\" \/><\/picture>\n<p class=\"small wp-caption-text\">Figura 14. Capturas de pantalla de la interfaz para programar una publicaci\u00f3n en la secci\u00f3n \u201cFugas\u201d del panel del ransomware Lynx.<\/p>\n<\/div>\n<\/div>\n<div class=\"swiper-pagination swiper-pagination-clickable swiper-pagination-bullets swiper-pagination-horizontal\"><\/div>\n<div class=\"swiper-button-next\" tabindex=\"0\" role=\"button\" aria-label=\"Diapositiva siguiente\" aria-controls=\"swiper-wrapper-d56895cf7f0b14bc\" aria-disabled=\"false\" data-rocket-lazy-bg-265f7c59-7aaa-408a-ae55-3eb4493ec2ed=\"loaded\"><\/div>\n<div class=\"swiper-button-prev swiper-button-disabled\" tabindex=\"-1\" role=\"button\" aria-label=\"Diapositiva anterior\" aria-controls=\"swiper-wrapper-d56895cf7f0b14bc\" aria-disabled=\"true\" data-rocket-lazy-bg-08b9d954-f842-4fcd-900c-7347b6ebf44b=\"loaded\"><\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<h2>Informaci\u00f3n t\u00e9cnica<\/h2>\n<p>El ransomware est\u00e1 disponible en versiones para Windows y Linux, aunque esta \u00faltima a\u00fan no ha sido detectada. Sus caracter\u00edsticas son relativamente est\u00e1ndar para un ransomware y muestran un comportamiento t\u00edpico de otras amenazas de su tipo. La extensi\u00f3n de archivo utilizada es \u201c.LYNX\u201d, que se adjunta a los archivos cifrados.<\/p>\n<p>Resumen general de las opciones de la l\u00ednea de comandos de las versiones de Windows y Linux:<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"table\">\n<div class=\"table__wrapper\">\n<table>\n<tbody>\n<tr>\n<td><b>Opciones<\/b><\/td>\n<td><b>Descripci\u00f3n<\/b><\/td>\n<td><b>Ventanas<\/b><\/td>\n<td><b>Linux<\/b><\/td>\n<\/tr>\n<tr>\n<td>archivo<\/td>\n<td>Cifrar s\u00f3lo los archivos especificados<\/td>\n<td>en<\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>direcci\u00f3n<\/td>\n<td>Cifrar s\u00f3lo los directorios especificados<\/td>\n<td>en<\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>modo<\/td>\n<td>lento (25%), medio (15%), r\u00e1pido (5%), completo (100%)<\/td>\n<td>en<\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>esxi<\/td>\n<td>Forzar la detenci\u00f3n de todas las m\u00e1quinas virtuales ESXi<\/td>\n<td><\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>demora<\/td>\n<td>Retrasar el cifrado durante N minutos<\/td>\n<td><\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>tenedor<\/td>\n<td>Proceso de bifurcaci\u00f3n<\/td>\n<td><\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>mensaje<\/td>\n<td>Configurar nota de rescate en el mensaje del d\u00eda<\/td>\n<td><\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>verboso<\/td>\n<td>Imprimir mensajes de registro<\/td>\n<td>en<\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>ayuda<\/td>\n<td>Men\u00fa de ayuda para imprimir<\/td>\n<td>en<\/td>\n<td>en<\/td>\n<\/tr>\n<tr>\n<td>silencioso<\/td>\n<td>Habilitar cifrado silencioso (no se agregar\u00e1n extensiones ni notas)<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>procesos de parada<\/td>\n<td>Detener procesos mediante RestartManager<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>encriptar red<\/td>\n<td>Cifrar recursos compartidos de red<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>unidades de carga<\/td>\n<td>Cargar unidades ocultas (da\u00f1ar\u00e1 el cargador de arranque)<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>ocultar-cmd<\/td>\n<td>Ocultar la ventana de la consola<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>Sin antecedentes<\/td>\n<td>No cambie la imagen de fondo<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>Sin impresi\u00f3n<\/td>\n<td>No imprimir notas en impresoras<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>matar<\/td>\n<td>Matar procesos\/servicios<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<tr>\n<td>modo seguro<\/td>\n<td>Entrar en modo seguro<\/td>\n<td>en<\/td>\n<td><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<h3>Ventanas<\/h3>\n<p>Al comparar nuestra muestra con las que se informaron en octubre de 2024, una diferencia clave es que el ransomware Lynx ha introducido una\u00a0<b>opci\u00f3n de \u201cmodo\u201d<\/b>\u00a0(r\u00e1pido\/medio\/lento\/completo), que permite al atacante elegir el porcentaje de un archivo que desea cifrar, lo que le permite decidir el equilibrio entre la velocidad y la cantidad de datos cifrados. Por el contrario, las versiones anteriores de Lynx solo tienen una opci\u00f3n predeterminada que consiste simplemente en cifrar 1 MB por cada 6 MB (en realidad, esto es aproximadamente el 16 %, que es el modo \u201cmedio\u201d).<\/p>\n<div id=\"attachment_36370\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/15-min-22.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/15-min-22.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36370\" class=\"wp-caption-text\">Figura 15. Opciones de l\u00ednea de comandos de la versi\u00f3n para Windows del ransomware Lynx<\/p>\n<\/div>\n<div id=\"attachment_36371\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/16-min-23.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/16-min-23.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36371\" class=\"wp-caption-text\">Figura 16. Registros detallados durante el cifrado<\/p>\n<\/div>\n<p>La nota de rescate est\u00e1 codificada en base64 y se incluye en el archivo binario. Se coloca en todos los directorios cifrados.<\/p>\n<div id=\"attachment_36372\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/17-min-18.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/17-min-18.png.webp\" \/><\/picture>\n<p id=\"caption-attachment-36372\" class=\"wp-caption-text\">Figura 17. Nota de rescate de Lynx<\/p>\n<\/div>\n<p><strong>Preparaci\u00f3n del entorno<\/strong><br \/>\nPara garantizar un proceso de cifrado sin problemas, hace algunas cosas<\/p>\n<ul>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Cuando se determina que no se tiene acceso suficiente a los archivos que se van a cifrar, intenta aumentar los privilegios. Habilita \u201cSeTakeOwnershipPrivilege\u201d para el token de acceso al proceso actual y toma posesi\u00f3n del objeto de archivo. Luego se utiliza para cambiar la Lista de control de acceso discrecional (DACL) del objeto de archivo.<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Utiliza el Administrador de reinicio de Windows para finalizar los procesos que actualmente est\u00e1n utilizando los recursos espec\u00edficos.<\/li>\n<li aria-level=\"1\" data-rocket-lazy-bg-af206a97-d816-471e-940e-221b01e7e25f=\"loaded\">Cuando la opci\u00f3n \u201cload-drives\u201d est\u00e1 habilitada, enumera todos los vol\u00famenes y el sistema intentar\u00e1 montar cualquier volumen no montado y asignarle una letra de unidad.<\/li>\n<\/ul>\n<p>Extensiones incluidas en la lista blanca<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>.exe, .dll, .msi, .lynx<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>Servicios y procesos incluidos en la lista negra<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>Servicios: \"sql\", \"veeam\", \"backup\", \"exchange\"\r\nProcesos: \"sql\", \"veeam\", \"backup\", \"exchange\", \"java\", \"notepad\"<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p><strong>Esquema de cifrado<\/strong><br \/>\nEl ransomware utiliza un enfoque multiproceso para acelerar el proceso de cifrado mediante la creaci\u00f3n de una cantidad de subprocesos equivalente a cuatro veces la cantidad de n\u00facleos de CPU en el sistema. Utiliza el mecanismo de puerto de finalizaci\u00f3n de E\/S de Windows para administrar de manera eficiente las operaciones de E\/S asincr\u00f3nicas, lo que permite que los subprocesos gestionen tareas de lectura y escritura de disco sin bloquear el proceso de cifrado.<\/p>\n<p>El ransomware utiliza la combinaci\u00f3n de Curve25519 Donna y AES-128 en modo CTR para cifrar los archivos. Por \u00faltimo, renombra el archivo con la extensi\u00f3n .LYNX.<\/p>\n<p><strong>Cifrado posterior<\/strong><br \/>\nRealiza los pasos habituales posteriores al cifrado, cambiando el fondo de pantalla del escritorio de la m\u00e1quina comprometida por una nota de rescate. Tambi\u00e9n intentar\u00e1 imprimir la nota de rescate en las impresoras conectadas. Enumera todas las impresoras locales, excluyendo \u201cMicrosoft Print to PDF\u201d y \u201cMicrosoft XPS Document Writer\u201d, y procede a enviarles la nota del ransomware como un trabajo de impresi\u00f3n.<\/p>\n<div id=\"attachment_36373\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/18-min-17.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/18-min-17.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36373 webpexpress-processed entered lazyloaded\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/18-min-17.png\" alt=\"Figura 18. Nota de rescate establecida como fondo de pantalla\" width=\"917\" height=\"538\" aria-describedby=\"caption-attachment-36373\" data-lazy-src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/18-min-17.png\" data-ll-status=\"loaded\" data-lazy- title=\"\"><\/picture>\n<p id=\"caption-attachment-36373\" class=\"wp-caption-text\">Figura 18. Nota de rescate establecida como fondo de pantalla<\/p>\n<\/div>\n<p><b>Eliminar instant\u00e1neas<\/b><br \/>\nEl ransomware intenta eliminar instant\u00e1neas modificando el tama\u00f1o de la cantidad m\u00e1xima de espacio de almacenamiento de instant\u00e1neas de volumen. Esto se hace a trav\u00e9s de DeviceIoControl() utilizando el c\u00f3digo de control IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE (0x53C028). Al configurar el espacio m\u00e1ximo en 1 byte, obliga a Windows a eliminar todas las instant\u00e1neas de volumen existentes.<\/p>\n<div id=\"attachment_36374\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/19-min-17.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/19-min-17.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36374 webpexpress-processed entered lazyloaded\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/19-min-17.png\" alt=\"Figura 19. Fragmento de c\u00f3digo para eliminar copias de sombra\" width=\"592\" height=\"373\" aria-describedby=\"caption-attachment-36374\" data-lazy-src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/19-min-17.png\" data-ll-status=\"loaded\" data-lazy- title=\"\"><\/picture>\n<p id=\"caption-attachment-36374\" class=\"wp-caption-text\">Figura 19. Fragmento de c\u00f3digo para eliminar copias de sombra<\/p>\n<\/div>\n<h3>Linux<\/h3>\n<p>La versi\u00f3n Linux del ransomware es mucho m\u00e1s sencilla y las versiones Linux del ransomware suelen estar desarrolladas para atacar sistemas ESXI. Para iniciar el cifrado, hay que especificar un archivo o directorio para la versi\u00f3n Linux.<\/p>\n<p>El esquema de cifrado es el mismo que el de Windows. Sin embargo, en comparaci\u00f3n con la versi\u00f3n de Windows, que utiliza cuatro veces m\u00e1s n\u00facleos, la versi\u00f3n de Linux genera subprocesos equivalentes a dos veces la cantidad de n\u00facleos para procesar archivos.<\/p>\n<p>Las notas de rescate se colocan en cada directorio y tambi\u00e9n pueden configurarse como mensaje del d\u00eda (MOTD).<\/p>\n<div id=\"attachment_36375\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/20-min-16.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/20-min-16.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36375 webpexpress-processed entered lazyloaded\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/20-min-16.png\" alt=\"Figura 20. Nota de rescate establecida como MOTD\" width=\"928\" height=\"510\" aria-describedby=\"caption-attachment-36375\" data-lazy-src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/20-min-16.png\" data-ll-status=\"loaded\" data-lazy- title=\"\"><\/picture>\n<p id=\"caption-attachment-36375\" class=\"wp-caption-text\">Figura 20. Nota de rescate establecida como MOTD<\/p>\n<\/div>\n<div id=\"attachment_36376\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/21-min-13.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/21-min-13.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36376 webpexpress-processed entered lazyloaded\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/21-min-13.png\" alt=\"Figura 21. Opciones de l\u00ednea de comandos de la versi\u00f3n Linux del ransomware Lynx\" width=\"854\" height=\"346\" aria-describedby=\"caption-attachment-36376\" data-lazy-src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/21-min-13.png\" data-ll-status=\"loaded\" data-lazy- title=\"\"><\/picture>\n<p id=\"caption-attachment-36376\" class=\"wp-caption-text\">Figura 21. Opciones de l\u00ednea de comandos de la versi\u00f3n Linux del ransomware Lynx<\/p>\n<\/div>\n<p><b>Detener ESXI y eliminar instant\u00e1neas<\/b><br \/>\nEscribe el siguiente comando en un archivo llamado \u201c\u00a0<b>kill<\/b>\u00a0\u201d y procede a ejecutar el archivo. Termina de manera forzada todas las m\u00e1quinas virtuales en el host ESXi usando sus identificadores mundiales.<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>para i en $(lista de procesos esxcli vm | grep 'Mundo' | grep -Eo '[0-9]{1,8}'); hacer esxcli vm process kill -t=force -w=$i; hecho\"\r\n<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<p>Para eliminar las instant\u00e1neas de la m\u00e1quina virtual, escribe el siguiente comando en un archivo llamado \u201c\u00a0<b>eliminar<\/b>\u00a0\u201d y procede a ejecutar el archivo.<\/p>\n<\/div>\n<div class=\"blog-post-content__section\">\n<div class=\"code\">\n<div class=\"code__wrapper\">\n<pre>para i en $(vim-cmd vmsvc\/getallvms | awk '{print $1}' | grep -Eo '[0-9]{1,8}'); hacer vim-cmd vmsvc\/snapshot.removeall $i; hecho<\/pre>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"blog-post-content__section--text\">\n<h3>Comparaci\u00f3n con INC<\/h3>\n<p>Ha sido<a href=\"https:\/\/unit42.paloaltonetworks.com\/inc-ransomware-rebrand-to-lynx\/\" target=\"_blank\" rel=\"noopener\">informado previamente<\/a>que la versi\u00f3n de Windows del ransomware Lynx se parece mucho al ransomware INC, lo que sugiere que podr\u00edan haber comprado el c\u00f3digo fuente del ransomware INC. Las caracter\u00edsticas de la versi\u00f3n Linux analizada de Lynx tambi\u00e9n mostraron fuertes similitudes. Decidimos compararla con la versi\u00f3n Linux ESXI del ransomware INC (SHA256: c41ab33986921c812c51e7a86bd3fd0691f5bba925fae612f1b717afaa2fe0ef) utilizando BinDiff. Hubo un total de 147 coincidencias de funciones no pertenecientes a la biblioteca entre las 2 muestras, lo que hace que aproximadamente &gt; 91% de funciones se superpongan. La similitud general se situ\u00f3 en el 87% con un 98% de confianza.<\/p>\n<div id=\"attachment_36377\" class=\"wp-caption alignnone\">\n<picture><source srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/22-min-13.png.webp\" type=\"image\/webp\" data-lazy-srcset=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/22-min-13.png.webp\" \/><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36377 webpexpress-processed entered lazyloaded\" src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/22-min-13.png\" alt=\"Figura 22. Comparaci\u00f3n BinDiff de la muestra Lynx y la muestra INC\" width=\"932\" height=\"201\" aria-describedby=\"caption-attachment-36377\" data-lazy-src=\"https:\/\/www.group-ib.com\/wp-content\/uploads\/22-min-13.png\" data-ll-status=\"loaded\" data-lazy- title=\"\"><\/picture>\n<p id=\"caption-attachment-36377\" class=\"wp-caption-text\">Figura 22. Comparaci\u00f3n BinDiff de la muestra Lynx y la muestra INC<\/p>\n<\/div>\n<h2>Conclusi\u00f3n<\/h2>\n<p>Lynx ha emergido como un formidable operador de RaaS al combinar un arsenal vers\u00e1til de compilaciones de ransomware, un ecosistema de afiliados estructurado y t\u00e1cticas de extorsi\u00f3n sistem\u00e1ticas. Las caracter\u00edsticas de su panel, desde la gesti\u00f3n de v\u00edctimas hasta la publicaci\u00f3n programada de filtraciones, demuestran un enfoque a escala industrial para el cibercrimen.<\/p>\n<p>Cabe destacar que un an\u00e1lisis en profundidad revel\u00f3 una superposici\u00f3n significativa de c\u00f3digo con el ransomware INC (m\u00e1s del 90 % de las funciones de la variante Linux ESXi coinciden cuando se comparan a trav\u00e9s de BinDiff). Esto indica claramente que Lynx puede haber comprado o adaptado el c\u00f3digo fuente del ransomware INC, lo que le permite aprovechar las capacidades existentes del malware. Para las organizaciones, esto subraya la importancia de actualizar continuamente los procedimientos de respuesta a incidentes, invertir en inteligencia de amenazas en tiempo real y fomentar una cultura de seguridad ante todo.<\/p>\n<p>A medida que grupos RaaS como Lynx ampl\u00edan los l\u00edmites de la extorsi\u00f3n cibern\u00e9tica, solo una estrategia defensiva proactiva y adaptativa proteger\u00e1 los datos cr\u00edticos y mantendr\u00e1 la resiliencia empresarial.<\/p>\n<\/div>\n<\/div>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Fuente : Blog Group-IB<\/p>\n<p>&nbsp;<\/p>\n<p>Lea m\u00e1s sobre ciberseguridad en;<\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/swift-00001\/\">SWIFT: seguridad efectiva con AI en el contexto 2025<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/programa-de-fortalecimiento-01\/\">Programa de Fortalecimiento en Ciber seguridad e Investigaci\u00f3n 2025<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberataques-a-infraestructuras-criticas-001\/\">Ciberataques a Infraestructuras Cr\u00edticas 2025: Riesgos, Amenazas y Seguridad<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/la-cultura-del-peligro-001\/\">La Cultura del Peligro 2025: Un An\u00e1lisis Cr\u00edtico de seguridad<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberseguridad-2025-0001\/\">Ciberseguridad 2025: el cambio ser\u00e1 formidable<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La gente de Group IB, observ\u00f3 c\u00f3mo opera el grupo Lynx Ransomware-as-a-Service (RaaS), detallando el flujo de trabajo de sus afiliados dentro del panel, su arsenal de ransomware multiplataforma, modos de cifrado personalizables y capacidades t\u00e9cnicas avanzadas. El ransomware sigue siendo una de las ciberamenazas m\u00e1s rentables, con nuevas variantes y modelos de negocio que [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6398,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[3972],"class_list":["post-6397","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-lynx-ransomware"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/6397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=6397"}],"version-history":[{"count":34,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/6397\/revisions"}],"predecessor-version":[{"id":7800,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/6397\/revisions\/7800"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/6398"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=6397"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=6397"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=6397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}