En ny ransomware-operation er blevet lanceret under navnet ”Lilith”, og den har allerede lagt sit første offer på et datalækagewebsted, der er oprettet for at understøtte dobbelt-afpresningsangreb.
Lilith er en C / C ++ konsolbaseret ransomware opdaget af JAMESWT og designet til 64-bit versioner af Windows. Som de fleste ransomware-operationer, der lanceres i dag, Lilith udfører dobbeltafpresningsangreb, hvilket er, når hackerne stjæler data, før de krypterer enheder.
Ifølge en rapport fra Cyble, der analyserede Lilith, introducerer den nye familie ingen nyheder. Det er dog en af de seneste trusler at passe på sammen med RedAlert og 0mega, der også for nylig dukkede op.
Lilith som ransomware
Efter udførelse forsøger Lilith at afslutte processer, der matcher poster på en kodet liste, herunder Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox og mere.
Dette frigør værdifulde filer fra applikationer, der muligvis bruger dem i øjeblikket, hvilket gør dem tilgængelige til kryptering.
Før krypteringsprocessen påbegyndes, oprettes Lilith og slipper løsepenge-beskeder på alle de opregnede mapper.
Beskeden giver ofrene tre dage til at kontakte hackerne på den medfølgende Tox-chatadresse eller de trues med offentlig dataeksponering.
De filtyper, der er udelukket fra kryptering, er EXE, DLL og SYS, mens programfiler, webbrowsere og papirkurven mapper også omgås.
Interessant, Lilith indeholder også en udelukkelse for ‘ecdh_pub_k.bin,’ som gemmer den lokale offentlige nøgle til BABUK ransomware infektioner.
Dette kan være en rest fra kopieret kode, så det kunne være en indikation af et link mellem de to ransomware stammer.
Endelig finder krypteringen sted ved hjælp af Windows kryptografisk API, mens Windows ‘CryptGenRandom-funktion genererer den tilfældige nøgle. Den tilføjer “.lilith” filtypenavn, når kryptere filer.
Forventning til Lilith
Selvom det er for tidligt at sige, om Lilith kan udvikle sig til en storstilet trussel eller et vellykket RaaS-program, er det noget, analytikere bør holde øje med.
Dens første offer, som er blevet fjernet fra afpresningsstedet i skrivende stund, var en stor byggegruppe med base i Sydamerika.
Dette er et tegn på, at Lilith måske er interesseret i storvildtjagt, og at dets operatører allerede er opmærksomme på de politiske labyrinter, de skal navigere i for at undgå at blive målrettet af retshåndhævelse.
Når alt kommer til alt, er de fleste af disse nye ransomware-projekter rebrands af ældre programmer, så deres operatører kender typisk feltets forviklinger godt.
Kilde: BleepingComputers
Foto: Pexels
