Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Lilith: il ransomware scritto in C che punta all’élite

Redazione RHC : 15 Luglio 2022 09:58

Lilith è una figura presente nelle antiche religioni mesopotamiche già dal III millennio a.C. e successivamente acquisita dalla mitologia ebraica, che potrebbe averla appresa dai babilonesi, assieme ad altri culti e miti, durante l’esilio babilonese.

Lilith è anche un ransomware basato su console scritto in C e C++ che prende di mira le versioni a 64 bit di Windows. Gli operatori di ransomware utilizzano Lilith per eseguire attacchi ransomware in doppia estorsione.

Lilith è stata scoperta per la prima volta dallo specialista della sicurezza delle informazioni JAMESWT , dopodiché è stato analizzato dai ricercatori di Cyble. Secondo loro, Lilith non è qualcosa di speciale, ma vale la pena prestare attenzione esattamente allo stesso modo di RedAlert e 0mega, entrambi apparsi di recente.

Home Page del data leak site di Lilith all’interno della rete onion

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Secondo il rapporto Cyble, l’attacco con Lilith si svolge in più fasi:

  • Una volta lanciata sul sistema della vittima, Lilith cerca di terminare i processi in modo da rilasciare file preziosi dalle applicazioni che li utilizzano e non consentire loro di interagire con essi in alcun modo;
  • Lilith quindi crea e carica le note di riscatto in tutte le cartelle che che vengono crittografate;
  • Solo dopo il ransomware utilizza l’API crittografica di Windows per crittografare i dati e genera una chiave utilizzando la funzione CryptGenRandom. Tutti i file crittografati vengono aggiunti con l’estensione .lilith.

La richiesta di riscatto concede alle vittime tre giorni per contattare gli operatori di Lilith nella chat di Tox, altrimenti i dati della vittima verranno divulgati in rete.

Richiesta di riscatto da Lilith

È anche noto che Lilith non crittografa i file con estensione .exe, .dll e .sys, così come le cartelle Programmi, browser Web e il cestino. 

Inoltre, gli esperti hanno trovato un’interessante eccezione per il file ecdh_pub_k.bin, che memorizza la chiave pubblica del ransomware BABUK. 

Questa chiave è un residuo del codice copiato e potrebbe indicare un collegamento tra due ransomware.

Elenco delle esclusioni di Lilith

Mentre è ancora troppo presto per dire se Lilith potrebbe diventare un importante gruppo ransomware, vale la pena tenere d’occhio questa gang.

Tutto questo perchè la prima vittima degli hacker è stata una grande impresa edile situata in Sud America. 

Ciò suggerisce che Lilith punta in alto e sono ben consapevoli dei rischi connessi e sanno come evitare il controllo delle forze dell’ordine.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin
Di Simone D'Agostino - 23/07/2025

Nel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...

Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari
Di Redazione RHC - 23/07/2025

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...

Red Hot Cyber Conference 2026. La Quinta edizione a Roma lunedì 18 e martedì 19 Maggio
Di Redazione RHC - 23/07/2025

La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...

Boom di cyberattacchi in Europa! Ogni 3 minuti un’azienda viene colpita
Di Redazione RHC - 23/07/2025

Con la rapida crescita delle minacce digitali, le aziende di tutto il mondo sono sotto attacco informatico. Secondo gli ultimi dati di Check Point Research, ogni organizzazione subisce in media 1,984 ...

Arriva LameHug: il malware che utilizza l’AI per rubare i dati sui sistemi Windows
Di Redazione RHC - 22/07/2025

La nuova famiglia di malware LameHug utilizza il Large Language Model (LLM) per generare comandi che vengono eseguiti sui sistemi Windows compromessi. Come riportato da Bleeping Computer, LameHug ...