Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Lilith: il ransomware scritto in C che punta all’élite

Lilith è una figura presente nelle antiche religioni mesopotamiche già dal III millennio a.C. e successivamente acquisita dalla mitologia ebraica, che potrebbe averla appresa dai babilonesi, assieme ad altri culti e miti, durante l’esilio babilonese.

Lilith è anche un ransomware basato su console scritto in C e C++ che prende di mira le versioni a 64 bit di Windows. Gli operatori di ransomware utilizzano Lilith per eseguire attacchi ransomware in doppia estorsione.

Lilith è stata scoperta per la prima volta dallo specialista della sicurezza delle informazioni JAMESWT , dopodiché è stato analizzato dai ricercatori di Cyble. Secondo loro, Lilith non è qualcosa di speciale, ma vale la pena prestare attenzione esattamente allo stesso modo di RedAlert e 0mega, entrambi apparsi di recente.

Home Page del data leak site di Lilith all’interno della rete onion

Secondo il rapporto Cyble, l’attacco con Lilith si svolge in più fasi:

Advertisements
  • Una volta lanciata sul sistema della vittima, Lilith cerca di terminare i processi in modo da rilasciare file preziosi dalle applicazioni che li utilizzano e non consentire loro di interagire con essi in alcun modo;
  • Lilith quindi crea e carica le note di riscatto in tutte le cartelle che che vengono crittografate;
  • Solo dopo il ransomware utilizza l’API crittografica di Windows per crittografare i dati e genera una chiave utilizzando la funzione CryptGenRandom. Tutti i file crittografati vengono aggiunti con l’estensione .lilith.

La richiesta di riscatto concede alle vittime tre giorni per contattare gli operatori di Lilith nella chat di Tox, altrimenti i dati della vittima verranno divulgati in rete.

Richiesta di riscatto da Lilith

È anche noto che Lilith non crittografa i file con estensione .exe, .dll e .sys, così come le cartelle Programmi, browser Web e il cestino. 

Inoltre, gli esperti hanno trovato un’interessante eccezione per il file ecdh_pub_k.bin, che memorizza la chiave pubblica del ransomware BABUK. 

Questa chiave è un residuo del codice copiato e potrebbe indicare un collegamento tra due ransomware.

Advertisements
Elenco delle esclusioni di Lilith

Mentre è ancora troppo presto per dire se Lilith potrebbe diventare un importante gruppo ransomware, vale la pena tenere d’occhio questa gang.

Tutto questo perchè la prima vittima degli hacker è stata una grande impresa edile situata in Sud America. 

Ciò suggerisce che Lilith punta in alto e sono ben consapevoli dei rischi connessi e sanno come evitare il controllo delle forze dell’ordine.

Advertisements