Forscher fordern Unternehmen auf, Kennwörter zu stärken, um Systeme gegen die sich selbst ausbreitende Luzifer-Malware zu verteidigen

Die sich selbst verbreitende Malware, über die wir sprechen werden, sollte Satan heißen. Da es jedoch bereits eine Ransomware-Familie mit demselben Namen gibt, haben die Forscher von Palo Alto Networks beschlossen, sie Luzifer zu nennen. Der Autor der Malware ist wahrscheinlich ziemlich verärgert darüber, weshalb wir uns an den neuen Namen halten.

Die Einheit 42 von Palo Alto Networks entdeckte die Malware Ende Mai, als sie feststellte, dass die Anzahl der Ausnutzungen einer bekannten Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Lavarel Framework zunahm. Nach der ersten Untersuchung kamen die Experten zu dem Schluss, dass Luzifer für seine Fähigkeit, DDoS-Angriffe (Distributed Denial of Service) zu starten, und für die große Anzahl von Exploits, mit denen es ausgestattet war, bemerkenswert ist. Am 11. Juni haben die Autoren Luzifers jedoch eine zweite Version der Malware veröffentlicht und ihr wahres Potenzial aufgezeigt.

Luzifer ist in der Lage, Cryptojacking- und DDoS-Angriffe zu kombinieren

Nachdem ein Computer in einem Unternehmensnetzwerk kompromittiert wurde, benachrichtigt Lucifer den Command and Control-Server (C & C), indem er einige Details zum Host-Computer sendet. Sobald die erfolgreiche Infektion festgestellt wurde, kann das C & C einen von mehreren Befehlen senden.

Wie bereits erwähnt, erregte die Malware erstmals die Aufmerksamkeit der Forscher, als sie der Welt zeigte, dass sie DDoS-Angriffe ausführen kann. Als die Experten die Kommunikation mit dem C & C genauer untersuchten, stellten sie jedoch fest, dass Luzifer angewiesen werden kann, XMRig auch auf dem Host-Computer abzulegen.

XMRig ist ein Cryptocurrency-Mining-Tool, das zur Generierung von Monero entwickelt wurde und von Cryptocurrency-Enthusiasten völlig legitim verwendet wird. Dank der einfachen Bereitstellung und des Open-Source-Charakters hat es jedoch auch eine Schlüsselrolle bei der Entstehung von Cryptojacking-Angriffen gespielt.

Im vergangenen Jahr hat die illegale Nutzung der Computerressourcen anderer Personen zur Erzeugung digitaler Münzen die Ransomware als die produktivste Form der Internetkriminalität überholt, und XMRig war an einem großen Prozentsatz der Angriffe beteiligt. Im Fall von Luzifer hat es der XMRig-Bergmann bereits geschafft, seinen Betreibern Monero im Wert von mehr als 30.000 US-Dollar zu bringen, was Ihnen eine Vorstellung davon geben sollte, warum es bei Cyberkriminellen so beliebt ist.

Der Erlös aus dem DDoS-Geschäft ist derzeit nicht bekannt, aber es ist fair zu sagen, dass die Hacker durch die Verwendung von Luzifer für zwei separate Angriffsmethoden ihre Chancen verdoppeln, einen ernsthaften Gewinn aus der Malware zu ziehen. Trotzdem hängen erfolgreiche Cryptojacking- und DDoS-Kampagnen von einer großen Anzahl infizierter Computer ab, und es muss gesagt werden, dass die Gauner auch darüber nachgedacht haben.

Luzifer zielt auf anfällige Systeme ab

Neben der Lavarel Framework-Sicherheitsanfälligkeit, die Ende Mai ausgenutzt wurde, kann Lucifer auch eine Reihe anderer Sicherheitslücken in Anwendungen von Oracle, Apache und Microsoft ausnutzen.

Nach einem erfolgreichen Kompromiss zwischen einem Computer wird nach offenen TCP-Ports gesucht, um potenzielle neue Ziele zu finden. Wenn Geräte mit unsicherer Netzwerkkonfiguration gefunden werden, wird ein Standardbenutzername zusammen mit einer Liste häufig verwendeter Kennwörter verwendet Brute-Force-Eingang. Wenn das SMB-Protokoll (Server Message Block) aktiviert ist, können Ziele über EternalBlue, EternalRomance und DoublePulsar angegriffen werden - drei Exploits, die 2017 durchgesickert sind und angeblich von der NSA entwickelt wurden.

Die Selbstverbreitungsmechanismen in Verbindung mit den Techniken zur Umgehung der Erkennung, die der zweiten Version der Malware hinzugefügt wurden, machen Luzifer zu einer gewaltigen Bedrohung. Ironischerweise hängt die gesamte Operation jedoch von einigen der einfachsten Fehler ab, die leider äußerst häufig sind.

Luzifers Exploits zielen auf bekannte Schwachstellen ab, die die Anbieter vor Jahren behoben haben. Es ist jedoch klar, dass die Zielorganisationen nicht die Mühe haben, die Sicherheitsupdates anzuwenden. Sie achten auch nicht genug auf die Netzwerkkonfiguration ihrer Geräte und setzen ihre Computer viel zu oft unabsichtlich einem Risiko aus, indem sie Standardkennwörter oder schwache Kennwörter verwenden.

Aus diesem Grund sind Malware-Familien wie Lucifer so erfolgreich, und deshalb können Experten nicht zu Atem kommen, um Benutzer vor den Gefahren einer Vernachlässigung der Sicherheit zu warnen.