เมนู

Ransomware ใหม่ภายในชื่อ  ‘Lilith’  

Lilith Full

บันทึกไฟล์เรียกค่าไถ่ไว้ในโฟลเดอร์ที่ถูกเข้ารหัสไว้ทั้งหมด ผู้เสียหายมีเวลา 3 วันในการติดต่อเพื่อจ่ายค่าไถ่ 

18 กรกฎาคม 2565

📢 เปิดตัว Ransomware ใหม่ภายในชื่อ ‘Lilith’  ที่ถูกสร้างขึ้นเพื่อรองรับการโจมตีแบบ double-extortions เป็น Ransomware ในส่วนของ C/C+ บนระบบปฏิบัติการ Windows 64 Bit ซึ่งคล้ายกับ Ransomware ตัวอื่นๆที่พบในปัจจุบัน วิธีการโจมตีจะทำการขโมยข้อมูลก่อนที่จะทำการขโมยข้อมูลก่อนที่จะเข้ารหัสอุปกรณ์ เช่น RedAlert และ omega ตามรายงานของนักวิจัยจาก Cyble
 
🕵️‍♀️ ในการทำงานของ Lilith จะพยายามหยุดการทำงานของเครื่องเป้าหมาย ตรงกับรายการบนฮาร์ดโค้ดซึ่งรวมถึงการทำงานต่างๆเช่น Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox และอื่นๆ
 
🔥 โดยวิธีการนี้จะทำให้ไฟล์ที่มีการใช้งานอยู่บนแอพพลิเคชั่นสามารถถูกเข้ารหัสได้ ก่อนที่กระบวนการเข้ารหัสจะเริ่มขึ้น โดยเจ้าตัว Lilith จะทำการสร้างและบันทึกไฟล์เรียกค่าไถ่ไว้ในโฟลเดอร์ที่ได้มีการถูกแจกแจงหรือเข้ารหัสไว้ทั้งหมด และเหยื่อมีเวลา 3 วันได้การติดต่อผ่าน Tox chat  เพื่อเจรจาค่าไถ่ ถ้าผู้เสียหายไม่ยอมชำระค่าไถ่ตามที่ตกลงข้อมูลที่ถูกเข้ารหัสไว้จะถูกเปิดเผยสู่สาธารณะ
 
 
 
 
 

ไฟล์ที่ไม่รวมอยู่ในการเข้ารหัสได้แก่ EXE, DLL และ SYS ในขณะที่ไฟล์โปรแกรม เว็บบราว์เซอร์ และโฟลเดอร์ในถังขยะ (Recyble Bin) ยังมีการยกเว้นสำหรับ ‘ecdh_pub_k.bin’ ซึ่งใช้ในการจัดเก็บคีย์สาธารณะในส่วนของพื้นที่ใช้งาน BABUK ransomware

 

 

💥ดังนั้นสิ่งที่เกิดขึ้นอาจเป็นตัวบ่งชี้ความเชื่อมโยงกันระหว่าง ransomware 2 สายพันธุ์นี้สุดท้ายในการเข้ารหัสเกิดขึ้นโดยใช้ API การเข้ารหัสของ Windows ในขณะที่ฟังก์ชัน CryptGenRandom ของ Windows จะทำการสร้างคีย์แบบสุ่ม

 

 

ตัวอย่างการไฟล์ที่ถูกเข้ารหัสด้วย Lilith ransomware “.lilith

 

 

📌แม้ว่ายังไม่มีการสรุปได้ว่าเจ้าตัว Lilith จะสามารถพัฒนาเป็นภัยคุกคามขนาดใหญ่ หรือจะเป็น RaaS program แต่จากเรื่องที่เกิดขึ้นก็เป็นสิ่งที่นักวิเคราะห์ควรจับตามอง เพราะจากเหตุการณ์ที่เกิดขึ้นมีผู้เสียหายรายแรกถูกเปิดเผยข้อมูล และถูกลบในเวลาต่อมาจึงถือเป็นสัญญาณเตือนว่าควรมีการป้องกัน เพื่อหลีกเลี่ยงในการตกเป็นเป้าหมายของกลุ่ม Lilith ransomware