‘Lilith’ adı altında yeni bir fidye yazılımı operasyonu başlatıldı ve ilk kurbanını çifte gasp saldırılarını desteklemek için oluşturulan bir veri sızıntısı sitesinde yayınladı.
Lilith, tarafından keşfedilen C/C++ konsol tabanlı bir fidye yazılımıdır. JAMESWT ve Windows’un 64 bit sürümleri için tasarlanmıştır. Bugün başlatılan çoğu fidye yazılımı operasyonu gibi, Lilith de tehdit aktörlerinin cihazları şifrelemeden önce verileri çaldığı çifte gasp saldırıları gerçekleştirir.
Araştırmacılar tarafından hazırlanan bir rapora göre Cyble Lilith’i analiz eden, yeni aile herhangi bir yenilik getirmiyor. Bununla birlikte, dikkat edilmesi gereken en son tehditlerden biridir. Kırmızı alarm ve 0 mega bu da yakın zamanda ortaya çıktı.
Lilith’e bir bakış
Yürütme üzerine Lilith, Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox ve daha fazlası dahil olmak üzere sabit kodlanmış bir listedeki girişlerle eşleşen işlemleri sonlandırmaya çalışır.
Bu, değerli dosyaları şu anda kullanmakta olan uygulamalardan kurtarır ve böylece onları şifreleme için kullanılabilir hale getirir.
Şifreleme işlemi başlatılmadan önce Lilith, numaralandırılmış tüm klasörlere fidye notları oluşturur ve bırakır.
Not, kurbanlara sağlanan Tox sohbet adresinden fidye yazılımı aktörleriyle iletişim kurmaları için üç gün verir veya kamuya açık verilere maruz kalmakla tehdit edilirler.
Şifrelemeden hariç tutulan dosya türleri EXE, DLL ve SYS iken Program Dosyaları, web tarayıcıları ve Geri Dönüşüm Kutusu klasörleri de atlanır.
İlginçtir ki, Lilith ayrıca ‘ için bir dışlama içerir.ecdh_pub_k.bin,‘ BABUK fidye yazılımı enfeksiyonlarının yerel ortak anahtarını saklar.
Bu, kopyalanan kodun bir kalıntısı olabilir, bu nedenle iki fidye yazılımı türü arasındaki bağlantının bir göstergesi olabilir.
Son olarak, şifreleme, Windows şifreleme API’sı kullanılarak gerçekleşirken, Windows’un CryptGenRandom işlevi rasgele anahtarı oluşturur.
Fidye yazılımı “.lilith” dosya uzantısı, aşağıda gösterildiği gibi dosyaları şifrelerken.
Ne bekleyebileceğinizi
Lilith’in büyük ölçekli bir tehdide mi yoksa başarılı bir RaaS programına mı dönüşebileceğini söylemek için henüz çok erken olsa da, analistlerin göz önünde bulundurması gereken bir şey.
Bunu yazarken gasp alanından çıkarılan ilk kurbanı, Güney Amerika merkezli büyük bir inşaat grubuydu.
Bu, Lilith’in büyük oyun avcılığına ilgi duyabileceğinin ve operatörlerinin, kolluk kuvvetleri tarafından hedef alınmamak için gezinmeleri gereken siyasi labirentlerin zaten farkında olduklarının bir işaretidir.
Ne de olsa, bu yeni fidye yazılımı projelerinin çoğu, eski programların yeniden markalanmış halidir, bu nedenle operatörleri genellikle alanın inceliklerini çok iyi bilir.