ตามรายงานของผู้เชี่ยวชาญจาก Cyble มีการค้นพบ Ransomware ตัวใหม่ ที่มีการเปิดตัวภายใต้ชื่อ 'Lilith' ซึ่งเป็น Ransomware ที่ถูกพัฒนาโดยภาษา C/C++ เป้าหมายคือระบบปฏิบัติการ Windows 64 Bit ซึ่งคล้ายกับ Ransomware ที่เคยถูกพบก่อนหน้านี้อย่าง RedAlert และ 0mega โดย Lilith จะทำการโจมตีแบบ double-extortions คือจะทำการขโมยข้อมูลก่อนที่จะเข้ารหัสอุปกรณ์
ลักษณะการทำงาน
- การทำงานของ Lilith เมื่อเครื่องเป้าหมายถูกโจมตี มันจะพยายาม Terminate การทำงานของ Process ที่ตรงกับรายการบนฮาร์ดโค้ด เช่น Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox และอื่นๆ วิธีนี้จะทำให้ไฟล์สามารถถูกเข้ารหัสได้
- ก่อนที่กระบวนการเข้ารหัสจะเริ่มขึ้น Lilith จะสร้าง และทิ้งบันทึกไฟล์เรียกค่าไถ่ในโฟลเดอร์ที่ถูกเข้ารหัสไว้ทั้งหมด ซึ่งเหยื่อมีเวลาสามวันในการติดต่อเผื่อจ่ายค่าไถ่ ก่อนที่จะมีการเปิดเผยข้อมูลสู่สาธารณะ
- มีไฟล์บางประเภทที่จะไม่สามารถเข้ารหัสได้ เช่น EXE, DLL และ SYS ในขณะที่ไฟล์โปรแกรม เว็บเบราว์เซอร์ และโฟลเดอร์ใน Recycle Bin จะถูกข้ามไปด้วย ที่น่าแปลกใจคือ Lilith จะยกเว้นการเข้ารหัสไฟล์ 'ecdh_pub_k.bin' ซึ่งใช้ในการจัดเก็บ Public Key ของ BABUK ransomware โดยรายการไฟล์ที่ไม่ถูกเข้ารหัส จะแสดงในรูปด้านล่าง
- การเข้ารหัส ทำงานโดยใช้ API ของ Windows ในขณะที่ฟังก์ชัน CryptGenRandom ของ Windows จะสร้างคีย์แบบสุ่ม จากนั้น Ransomware จะผนวกนามสกุลไฟล์ ".lilith" บนไฟล์ที่เข้ารหัส
แม้ว่าปัจจุบัน ยังไม่สามารถระบุได้ว่า Lilith จะสามารถพัฒนาเป็นภัยคุกคามขนาดใหญ่ หรือเป็น Ransomware as a services (RaaS) ที่ประสบความสำเร็จได้หรือไม่ แต่ก็เป็นสิ่งที่นักวิเคราะห์ควรจับตามอง เนื่องจากมีการโพสต์ข้อมูลของเหยื่อรายแรกเป็นที่เรียบร้อย และถูกลบในเวลาต่อมา
ที่มา : bleepingcomputer
You must be logged in to post a comment.