Ransomware ใหม่ภายในชื่อ ‘Lilith’
18 กรกฎาคม 2565
ไฟล์ที่ไม่รวมอยู่ในการเข้ารหัสได้แก่ EXE, DLL และ SYS ในขณะที่ไฟล์โปรแกรม เว็บบราว์เซอร์ และโฟลเดอร์ในถังขยะ (Recyble Bin) ยังมีการยกเว้นสำหรับ ‘ecdh_pub_k.bin’ ซึ่งใช้ในการจัดเก็บคีย์สาธารณะในส่วนของพื้นที่ใช้งาน BABUK ransomware
ดังนั้นสิ่งที่เกิดขึ้นอาจเป็นตัวบ่งชี้ความเชื่อมโยงกันระหว่าง ransomware 2 สายพันธุ์นี้สุดท้ายในการเข้ารหัสเกิดขึ้นโดยใช้ API การเข้ารหัสของ Windows ในขณะที่ฟังก์ชัน CryptGenRandom ของ Windows จะทำการสร้างคีย์แบบสุ่ม
ตัวอย่างการไฟล์ที่ถูกเข้ารหัสด้วย Lilith ransomware “.lilith“
แม้ว่ายังไม่มีการสรุปได้ว่าเจ้าตัว Lilith จะสามารถพัฒนาเป็นภัยคุกคามขนาดใหญ่ หรือจะเป็น RaaS program แต่จากเรื่องที่เกิดขึ้นก็เป็นสิ่งที่นักวิเคราะห์ควรจับตามอง เพราะจากเหตุการณ์ที่เกิดขึ้นมีผู้เสียหายรายแรกถูกเปิดเผยข้อมูล และถูกลบในเวลาต่อมาจึงถือเป็นสัญญาณเตือนว่าควรมีการป้องกัน เพื่อหลีกเลี่ยงในการตกเป็นเป้าหมายของกลุ่ม Lilith ransomware
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา