Lilith: il ransomware scritto in C che punta all’élite

Lilith è una figura presente nelle antiche religioni mesopotamiche già dal III millennio a.C. e successivamente acquisita dalla mitologia ebraica, che potrebbe averla appresa dai babilonesi, assieme ad altri culti e miti, durante l’esilio babilonese.

Lilith è anche un ransomware basato su console scritto in C e C++ che prende di mira le versioni a 64 bit di Windows. Gli operatori di ransomware utilizzano Lilith per eseguire attacchi ransomware in doppia estorsione.

Lilith è stata scoperta per la prima volta dallo specialista della sicurezza delle informazioni JAMESWT , dopodiché è stato analizzato dai ricercatori di Cyble. Secondo loro, Lilith non è qualcosa di speciale, ma vale la pena prestare attenzione esattamente allo stesso modo di RedAlert e 0mega, entrambi apparsi di recente.

Secondo il rapporto Cyble, l’attacco con Lilith si svolge in più fasi:

• Una volta lanciata sul sistema della vittima, Lilith cerca di terminare i processi in modo da rilasciare file preziosi dalle applicazioni che li utilizzano e non consentire loro di interagire con essi in alcun modo;
• Lilith quindi crea e carica le note di riscatto in tutte le cartelle che che vengono crittografate;
• Solo dopo il ransomware utilizza l’API crittografica di Windows per crittografare i dati e genera una chiave utilizzando la funzione CryptGenRandom. Tutti i file crittografati vengono aggiunti con l’estensione .lilith.

La richiesta di riscatto concede alle vittime tre giorni per contattare gli operatori di Lilith nella chat di Tox, altrimenti i dati della vittima verranno divulgati in rete.

È anche noto che Lilith non crittografa i file con estensione .exe, .dll e .sys, così come le cartelle Programmi, browser Web e il cestino. 

Inoltre, gli esperti hanno trovato un’interessante eccezione per il file ecdh_pub_k.bin, che memorizza la chiave pubblica del ransomware BABUK. 

Questa chiave è un residuo del codice copiato e potrebbe indicare un collegamento tra due ransomware.

Mentre è ancora troppo presto per dire se Lilith potrebbe diventare un importante gruppo ransomware, vale la pena tenere d’occhio questa gang.

Tutto questo perchè la prima vittima degli hacker è stata una grande impresa edile situata in Sud America. 

Ciò suggerisce che Lilith punta in alto e sono ben consapevoli dei rischi connessi e sanno come evitare il controllo delle forze dell’ordine.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.