Forskere opfordrer organisationer til at styrke adgangskoder til at forsvare systemer mod det selvforplantende Lucifer-malware

Lucifer Self-Propagating Malware

Den selvudbredende malware, vi skal diskutere, skulle antages at blive kaldt Satan, men fordi der allerede er en ransomware-familie, der går under samme navn, besluttede Palo Alto Networks 'forskere at kalde det Lucifer. Malwarens forfatter er sandsynligvis temmelig irriteret over dette, hvorfor vi holder os med det nye navn.

Palo Alto Networks 'Unit 42 opdagede malware i slutningen af maj, da den bemærkede en stigning i antallet af udnyttelser af en kendt sårbarhed til ekstern udførelse af kode i Lavarel Framework. Efter den første undersøgelse konkluderede eksperterne, at Lucifer er kendt for sin evne til at iværksætte DDoS-angreb (Distribueret Denial of Service) og for det store antal udnyttelser, det var udstyret med. Den 11. juni lancerede Lucifers forfattere imidlertid en anden version af malware og viste dets sande potentiale.

Lucifer er i stand til en kombination af cryptojacking og DDoS-angreb

Når den har kompromitteret en computer på et virksomhedsnetværk, underretter Lucifer Kommando- og kontrolserveren (C&C) ved at sende nogle detaljer om værtsmaskinen. Når den vellykkede infektion er etableret, kan C&C sende en af flere kommandoer.

Som vi allerede nævnte, fangede malware først forskernes opmærksomhed, da den viste verden, at den er i stand til at montere DDoS-angreb. Da eksperterne undersøgte kommunikationen med C&C nærmere, bemærkede de imidlertid, at Lucifer også kan instrueres i at droppe XMRig på værtsmaskinen.

XMRig er et cryptocurrency mining-værktøj designet til at generere Monero, og det bruges helt legitimt af cryptocurrency-entusiaster. Takket være den lette implementering og dens open source-art har det imidlertid også spillet en nøglerolle i fremkomsten af kryptojackingangreb.

Sidste år overhalede handlingen med ulovligt brug af andres computerressourcer til at generere digitale mønter ransomware som den mest produktive form for cyberkriminalitet, og XMRig var involveret i en stor procentdel af angrebene. I tilfælde af Lucifer har XMRig-minearbejderen allerede formået at bringe sine operatører mere end 30 tusind dollars værdi af Monero, hvilket burde give dig en idé om, hvorfor det er så populært blandt cyberkriminelle.

Indtægterne fra DDoS-forretningen er ukendt indtil videre, men det er rimeligt at sige, at ved at bruge Lucifer til to separate angrebsvektorer fordobler hackerne deres chancer for at opnå en seriøs fortjeneste fra malware. Når det er sagt, er succesrige cryptojacking- og DDoS-kampagner afhængige af et stort antal inficerede computere, og det må siges, at skurkerne også har tænkt på det.

Lucifer er målrettet mod sårbare systemer

Ud over Lavarel Framework-sårbarheden, som den udnyttede i slutningen af maj, er Lucifer også i stand til at drage fordel af en række andre sikkerhedsfejl i applikationer fra Oracle, Apache og Microsoft.

Efter et vellykket kompromis med en computer, søger den efter åbne TCP-porte i et forsøg på at finde potentielle nye mål, og hvis den finder enheder med usikker netværkskonfiguration, bruger den et standardbrugernavn sammen med en liste med ofte anvendte adgangskoder til at prøve og brute-force sin vej ind. Hvis Server Message Block (SMB) -protokollen er aktiveret, kan mål angribes via EternalBlue, EternalRomance og DoublePulsar - tre udnyttelser, der blev lækket i 2017 og angiveligt blev udviklet af NSA.

Selvudbredelsesmekanismerne kombineret med detektionsunddragelsesteknikker, der blev føjet til den anden version af malware, gør Lucifer til en formidabel trussel. Ironisk nok er imidlertid hele operationen afhængig af nogle af de enkleste fejl, der desværre er ekstremt almindelige.

Lucifers udnyttelser er målrettet kendte sårbarheder, som leverandørerne har lappet for mange år siden. Men det er klart, at de målrettede organisationer ikke er generet med at anvende sikkerhedsopdateringerne. De er ikke opmærksomme på deres enheds netværkskonfiguration, heller ikke, og alt for ofte sætter de uforvarende deres risici ved at bruge standard eller svage adgangskoder.

Derfor er malware-familier som Lucifer så succesrige, og det er derfor, eksperter ikke kan få deres åndedræt, der advarer brugere om farerne ved at forsømme sikkerhed.

June 25, 2020

Efterlad et Svar