De laatste paar dagen horen we van verschillende bronnen over problemen met data encryptie met Lynx. Op zich niet ongewoon maar de vraag is hoe kwam de encryptie malware op de machine als die op het eerste zicht goed bescherm is.
Indicators of compromise wijzen richting CVE-2025-59718, Een Fortinet probleem dat in december opdaagde waarbij websso toelaat om extra gebruikers toe te voegen op locale Fortinet devices. Arctic Wolf schrijft daar een en ander over hier , alleen zou die in de getroffen versie al gedicht moeten zijn wat blijkbaar niet helemaal geval is.
De attackers geven deze nieuwe gebruiker admin rechten en kunnen vervolgens toegang krijgen tot de firewall zelf, waarna ze vervolgens ook nog eens toegang kunnen krijgen tot interne machines. Zie reddit discussie
Volgende stap is op zoek gaan naar gaten op deze interne systemen.
Wat er juist volgt is nog wat onduidelijk, wordt er een windows vulnerability gebruiken om in de ESXi te geraken of geraken ze rechtsreeks in de VMWARE host, ...?
Het eindresultaat is echter wel al duidelijk. Alle virtuele disks (VMDK's) op de host worden encrypted en krijgen de extensie .LYNX Mogelijk hebben ze tegen dan ook al een kopie van de data ergens opgeslagen.
Enige echte voorlopig oplossing is geen toegang van buitenaf toelaten en websso uitzetten, minstens tot er een fix is.