Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Lilith: il ransomware scritto in C che punta all’élite

Lilith: il ransomware scritto in C che punta all’élite

15 Luglio 2022 09:58

Lilith è una figura presente nelle antiche religioni mesopotamiche già dal III millennio a.C. e successivamente acquisita dalla mitologia ebraica, che potrebbe averla appresa dai babilonesi, assieme ad altri culti e miti, durante l’esilio babilonese.

Lilith è anche un ransomware basato su console scritto in C e C++ che prende di mira le versioni a 64 bit di Windows. Gli operatori di ransomware utilizzano Lilith per eseguire attacchi ransomware in doppia estorsione.

Lilith è stata scoperta per la prima volta dallo specialista della sicurezza delle informazioni JAMESWT , dopodiché è stato analizzato dai ricercatori di Cyble. Secondo loro, Lilith non è qualcosa di speciale, ma vale la pena prestare attenzione esattamente allo stesso modo di RedAlert e 0mega, entrambi apparsi di recente.

Advertising
Home Page del data leak site di Lilith all’interno della rete onion

Secondo il rapporto Cyble, l’attacco con Lilith si svolge in più fasi:

  • Una volta lanciata sul sistema della vittima, Lilith cerca di terminare i processi in modo da rilasciare file preziosi dalle applicazioni che li utilizzano e non consentire loro di interagire con essi in alcun modo;
  • Lilith quindi crea e carica le note di riscatto in tutte le cartelle che che vengono crittografate;
  • Solo dopo il ransomware utilizza l’API crittografica di Windows per crittografare i dati e genera una chiave utilizzando la funzione CryptGenRandom. Tutti i file crittografati vengono aggiunti con l’estensione .lilith.

La richiesta di riscatto concede alle vittime tre giorni per contattare gli operatori di Lilith nella chat di Tox, altrimenti i dati della vittima verranno divulgati in rete.

Richiesta di riscatto da Lilith

È anche noto che Lilith non crittografa i file con estensione .exe, .dll e .sys, così come le cartelle Programmi, browser Web e il cestino. 

Inoltre, gli esperti hanno trovato un’interessante eccezione per il file ecdh_pub_k.bin, che memorizza la chiave pubblica del ransomware BABUK. 

Questa chiave è un residuo del codice copiato e potrebbe indicare un collegamento tra due ransomware.

Advertising
Elenco delle esclusioni di Lilith

Mentre è ancora troppo presto per dire se Lilith potrebbe diventare un importante gruppo ransomware, vale la pena tenere d’occhio questa gang.

Tutto questo perchè la prima vittima degli hacker è stata una grande impresa edile situata in Sud America. 

Ciò suggerisce che Lilith punta in alto e sono ben consapevoli dei rischi connessi e sanno come evitare il controllo delle forze dell’ordine.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Cropped RHC 3d Transp2 1766828557 300x300
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.