Cyberthreat.id – Operasi ransomware baru bernama Lilith telah diluncurkan, dan telah memposting korban pertamanya di situs kebocoran data yang dibuat untuk melakukan serangan pemerasan ganda.

Lilith adalah ransomware berbasis konsol C/C++ yang ditemukan oleh JAMESWT dan dirancang untuk Windows versi 64-bit. Seperti kebanyakan operasi ransomware yang diluncurkan hari ini, Lilith melakukan serangan pemerasan ganda, yaitu ketika pelaku ancaman mencuri data sebelum mengenkripsi perangkat.

Dikutip dari Bleeping Computer, berdasarkan laporan dari para peneliti di Cyble yang menganalisis Lilith, ransomware baru itu tidak memperkenalkan hal-hal baru. Namun, mereka menjadi salah satu ancaman terbaru yang harus diwaspadai, bersama dengan RedAlert dan 0mega yang juga baru-baru ini muncul.

Menurut para peneliti, setelah melakukan eksekusi Lilith akan mencoba untuk menghentikan proses yang cocok dengan entri pada daftar hardcode. Termasuk Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox, dan banyak lagi.

“Ini membebaskan file berharga dari aplikasi yang mungkin sedang menggunakannya saat ini, sehingga membuatnya tersedia untuk enkripsi,” kata peneliti Cyble.

Sebelum proses enkripsi dimulai, Lilith membuat dan menjatuhkan catatan tebusan pada semua folder yang disebutkan. Catatan itu memberi korban tiga hari untuk menghubungi pelaku ransomware di alamat obrolan Tox yang disediakan, atau mereka diancam dengan paparan data publik.

Peneliti menyebutkan, jenis file yang dikecualikan dari enkripsi adalah EXE, DLL, dan SYS, sedangkan File Program, browser web, dan folder Recycle Bin juga dilewati. Menariknya, Lilith juga berisi pengecualian untuk 'ecdh_pub_k.bin,' yang menyimpan kunci publik lokal dari infeksi ransomware BABUK.

“Ini mungkin sisa dari kode yang disalin, jadi ini bisa menjadi indikasi hubungan antara dua jenis ransomware,” kata peneliti.

Terakhir, enkripsi dilakukan menggunakan API kriptografi Windows, sedangkan fungsi CryptGenRandom Windows menghasilkan kunci acak. Ransomware kemudian akan menambahkan ekstensi file ".lilith" saat mengenkripsi file.

“Meskipun terlalu dini untuk mengatakan apakah Lilith dapat berkembang menjadi ancaman skala besar atau program RaaS yang sukses, itu adalah sesuatu yang harus diwaspadai,” tambah peneliti.

Korban pertamanya, yang telah dipindahkan dari situs pemerasan pada saat penulisan ini, adalah kelompok konstruksi besar yang berbasis di Amerika Selatan. Ini adalah tanda bahwa Lilith mungkin tertarik pada perburuan besar-besaran dan bahwa operatornya sudah menyadari labirin politik yang harus mereka navigasikan untuk menghindari menjadi sasaran penegakan hukum.