Lilith: il ransomware scritto in C che punta all’élite

Redazione RHC : 15 Luglio 2022 09:58

Lilith è una figura presente nelle antiche religioni mesopotamiche già dal III millennio a.C. e successivamente acquisita dalla mitologia ebraica, che potrebbe averla appresa dai babilonesi, assieme ad altri culti e miti, durante l’esilio babilonese.

Lilith è anche un ransomware basato su console scritto in C e C++ che prende di mira le versioni a 64 bit di Windows. Gli operatori di ransomware utilizzano Lilith per eseguire attacchi ransomware in doppia estorsione.

Lilith è stata scoperta per la prima volta dallo specialista della sicurezza delle informazioni JAMESWT , dopodiché è stato analizzato dai ricercatori di Cyble. Secondo loro, Lilith non è qualcosa di speciale, ma vale la pena prestare attenzione esattamente allo stesso modo di RedAlert e 0mega, entrambi apparsi di recente.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Secondo il rapporto Cyble, l’attacco con Lilith si svolge in più fasi:

• Una volta lanciata sul sistema della vittima, Lilith cerca di terminare i processi in modo da rilasciare file preziosi dalle applicazioni che li utilizzano e non consentire loro di interagire con essi in alcun modo;
• Lilith quindi crea e carica le note di riscatto in tutte le cartelle che che vengono crittografate;
• Solo dopo il ransomware utilizza l’API crittografica di Windows per crittografare i dati e genera una chiave utilizzando la funzione CryptGenRandom. Tutti i file crittografati vengono aggiunti con l’estensione .lilith.

La richiesta di riscatto concede alle vittime tre giorni per contattare gli operatori di Lilith nella chat di Tox, altrimenti i dati della vittima verranno divulgati in rete.

È anche noto che Lilith non crittografa i file con estensione .exe, .dll e .sys, così come le cartelle Programmi, browser Web e il cestino. 

Inoltre, gli esperti hanno trovato un’interessante eccezione per il file ecdh_pub_k.bin, che memorizza la chiave pubblica del ransomware BABUK. 

Questa chiave è un residuo del codice copiato e potrebbe indicare un collegamento tra due ransomware.

Mentre è ancora troppo presto per dire se Lilith potrebbe diventare un importante gruppo ransomware, vale la pena tenere d’occhio questa gang.

Tutto questo perchè la prima vittima degli hacker è stata una grande impresa edile situata in Sud America. 

Ciò suggerisce che Lilith punta in alto e sono ben consapevoli dei rischi connessi e sanno come evitare il controllo delle forze dell’ordine.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.