Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Новое вымогательское ПО Lilith атакует крупные компании

15/07/22

Lilith – это консольная программа-вымогатель, написанная на языках C и C++, которая нацелена на 64-битные версий Windows. Операторы вымогательского ПО используют Lilith для проведения атак с двойным вымогательством.

Первым Lilith обнаружил ИБ-специалист JAMESWT , после чего ее проанализировали исследователи из Cyble, пишет Securitylab. По их словам, Lilith не является чем-то особенным, но ее стоит остерегаться ровно так же, как и недавно появившиеся RedAlert и 0mega.

Согласно отчету Cyble, атака с использованием Lilith проходит в несколько этапов:

  • Запустившись в системе жертвы, Lilith пытается завершить процессы, чтобы освободить ценные файлы от приложений, которые используют их и не дают как-либо с ними взаимодействовать;
  • Потом Lilith создает и загружает записки о выкупе во все папки, данные в которых будут зашифрованы;
  • И только после всего этого начинается шифрование. Программа-вымогатель использует криптографический API WIndows, чтобы зашифровать данные и генерирует ключ с помощью функции CryptGenRandom. Ко всем зашифрованным файлам добавляется расширение .lilith.

В записке о выкупе жертвам дается три дня на то, чтобы связаться с операторами Lilith в чате Tox, иначе данные жертвы будут слиты в сеть.

pasted image 0 (14)

Также известно, что Lilith не шифрует файлы с расширениями .exe, .dll и .sys, а также папки Program Files, веб-браузеров и корзины. Помимо этого специалисты обнаружили интересное исключение для файла ecdh_pub_k.bin, в котором хранится открытый ключ вымогательского ПО BABUK. Этот ключ является остатком скопированного кода и может указывать на связь между двумя программами-вымогателями.

И хотя еще слишком рано говорить о том, сможет ли Lilith стать крупной вымогательской группировкой, ИБ-специалистам стоит обратить на нее внимание. А все из-за того, что первой жертвой хакеров стала крупная строительная фирма, находящаяся в Южной Америке. Это говорит о том, что Lilith – охотники за крупной дичью, которые хорошо понимают возможные риски и знают, как избежать пристального внимания со стороны правоохранительных органов.

Темы:WindowsУгрозыВымогатели
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...