15/07/22
Lilith – это консольная программа-вымогатель, написанная на языках C и C++, которая нацелена на 64-битные версий Windows. Операторы вымогательского ПО используют Lilith для проведения атак с двойным вымогательством.
Первым Lilith обнаружил ИБ-специалист JAMESWT , после чего ее проанализировали исследователи из Cyble, пишет Securitylab. По их словам, Lilith не является чем-то особенным, но ее стоит остерегаться ровно так же, как и недавно появившиеся RedAlert и 0mega.
Согласно отчету Cyble, атака с использованием Lilith проходит в несколько этапов:
- Запустившись в системе жертвы, Lilith пытается завершить процессы, чтобы освободить ценные файлы от приложений, которые используют их и не дают как-либо с ними взаимодействовать;
- Потом Lilith создает и загружает записки о выкупе во все папки, данные в которых будут зашифрованы;
- И только после всего этого начинается шифрование. Программа-вымогатель использует криптографический API WIndows, чтобы зашифровать данные и генерирует ключ с помощью функции CryptGenRandom. Ко всем зашифрованным файлам добавляется расширение .lilith.
В записке о выкупе жертвам дается три дня на то, чтобы связаться с операторами Lilith в чате Tox, иначе данные жертвы будут слиты в сеть.
.png?width=763&name=pasted%20image%200%20(14).png)
Также известно, что Lilith не шифрует файлы с расширениями .exe, .dll и .sys, а также папки Program Files, веб-браузеров и корзины. Помимо этого специалисты обнаружили интересное исключение для файла ecdh_pub_k.bin, в котором хранится открытый ключ вымогательского ПО BABUK. Этот ключ является остатком скопированного кода и может указывать на связь между двумя программами-вымогателями.
И хотя еще слишком рано говорить о том, сможет ли Lilith стать крупной вымогательской группировкой, ИБ-специалистам стоит обратить на нее внимание. А все из-за того, что первой жертвой хакеров стала крупная строительная фирма, находящаяся в Южной Америке. Это говорит о том, что Lilith – охотники за крупной дичью, которые хорошо понимают возможные риски и знают, как избежать пристального внимания со стороны правоохранительных органов.
