Οι ερευνητές παροτρύνουν τους οργανισμούς να ενισχύσουν τους κωδικούς πρόσβασης για να υπερασπιστούν τα συστήματα ενάντια στον αυτο-πολλαπλασιαζόμενο κακόβουλο λογισμικό

Το κακόβουλο λογισμικό που πρόκειται να συζητήσουμε έπρεπε να ονομάζεται Satan, αλλά επειδή υπάρχει ήδη μια οικογένεια ransomware με το ίδιο όνομα, οι ερευνητές του Palo Alto Networks αποφάσισαν να το ονομάσουν Lucifer. Ο συγγραφέας του κακόβουλου λογισμικού είναι μάλλον ενοχλημένος από αυτό, και γι 'αυτό θα διατηρήσουμε το νέο όνομα.

Η Μονάδα 42 του Palo Alto Networks ανακάλυψε το κακόβουλο λογισμικό στα τέλη Μαΐου όταν παρατήρησε αύξηση του αριθμού εκμεταλλεύσεων μιας γνωστής ευπάθειας εκτέλεσης απομακρυσμένου κώδικα στο Lavarel Framework. Μετά την αρχική έρευνα, οι ειδικοί κατέληξαν στο συμπέρασμα ότι η Lucifer είναι αξιοσημείωτη για την ικανότητά της να εκτοξεύει επιθέσεις Distanted Denial of Service (DDoS) και για τον μεγάλο αριθμό εκμεταλλεύσεων με τις οποίες ήταν εξοπλισμένη. Στις 11 Ιουνίου, ωστόσο, οι συγγραφείς της Lucifer κυκλοφόρησαν μια δεύτερη έκδοση του κακόβουλου λογισμικού και παρουσίασαν τις πραγματικές δυνατότητές του.

Το Lucifer είναι ικανό για έναν συνδυασμό κρυπτοεπιθέσεων και επιθέσεων DDoS

Αφού θέσει σε κίνδυνο έναν υπολογιστή σε εταιρικό δίκτυο, ο Lucifer ειδοποιεί τον διακομιστή Command and Control (C&C) στέλνοντας ορισμένες λεπτομέρειες σχετικά με τον κεντρικό υπολογιστή. Μόλις διαπιστωθεί η επιτυχή μόλυνση, οι C&C μπορούν να στείλουν μία από τις πολλές εντολές.

Όπως αναφέραμε ήδη, το κακόβουλο λογισμικό τράβηξε για πρώτη φορά την προσοχή των ερευνητών όταν έδειξε στον κόσμο ότι είναι ικανό να προκαλέσει επιθέσεις DDoS. Όταν οι εμπειρογνώμονες εξέτασαν την επικοινωνία με τους C&C πιο κοντά, ωστόσο, παρατήρησαν ότι μπορεί να δοθεί εντολή στον Lucifer να ρίξει και το XMRig στον κεντρικό υπολογιστή.

Το XMRig είναι ένα εργαλείο εξόρυξης κρυπτονομισμάτων που έχει σχεδιαστεί για τη δημιουργία του Monero και χρησιμοποιείται εντελώς νόμιμα από τους λάτρεις της κρυπτογράφησης. Χάρη στην εύκολη ανάπτυξη και τη φύση του ανοιχτού κώδικα, ωστόσο, διαδραμάτισε επίσης βασικό ρόλο στην αύξηση των επιθέσεων κρυπτοεκπαίδευσης.

Πέρυσι, η πράξη παράνομης χρήσης πόρων υπολογιστών άλλων ανθρώπων για τη δημιουργία ψηφιακών νομισμάτων ξεπέρασε το ransomware ως την πιο παραγωγική μορφή εγκλήματος στον κυβερνοχώρο και η XMRig συμμετείχε σε μεγάλο ποσοστό των επιθέσεων. Στην περίπτωση του Lucifer, ο ανθρακωρύχος XMRig έχει ήδη καταφέρει να φέρει τους χειριστές του Monero αξίας άνω των 30 χιλιάδων δολαρίων, κάτι που θα σας δώσει μια ιδέα για το γιατί είναι τόσο δημοφιλές στους εγκληματίες στον κυβερνοχώρο.

Τα έσοδα από την επιχείρηση DDoS είναι άγνωστα προς το παρόν, αλλά είναι δίκαιο να πούμε ότι χρησιμοποιώντας το Lucifer για δύο ξεχωριστούς φορείς επίθεσης, οι χάκερ διπλασιάζουν τις πιθανότητές τους να κάνουν σοβαρό κέρδος από το κακόβουλο λογισμικό. Τούτου λεχθέντος, οι επιτυχημένες εκστρατείες κρυπτογράφησης και DDoS βασίζονται σε τεράστιο αριθμό μολυσμένων υπολογιστών και πρέπει να ειπωθεί ότι και οι απατεώνες έχουν σκεφτεί και αυτό.

Το Lucifer στοχεύει ευάλωτα συστήματα

Εκτός από την ευπάθεια του Lavarel Framework που εκμεταλλεύτηκε στα τέλη Μαΐου, η Lucifer είναι επίσης ικανή να εκμεταλλευτεί ορισμένα άλλα ελαττώματα ασφαλείας σε εφαρμογές από την Oracle, την Apache και τη Microsoft.

Μετά από έναν επιτυχημένο συμβιβασμό ενός υπολογιστή, σαρώνει ανοιχτές θύρες TCP σε μια προσπάθεια εντοπισμού πιθανών νέων στόχων και αν εντοπίσει συσκευές με μη ασφαλή διαμόρφωση δικτύου, χρησιμοποιεί ένα προεπιλεγμένο όνομα χρήστη μαζί με μια λίστα κωδικών πρόσβασης που χρησιμοποιούνται συνήθως για να δοκιμάσει και brute-force το δρόμο του. Εάν είναι ενεργοποιημένο το πρωτόκολλο Server Message Block (SMB), οι στόχοι μπορούν να επιτεθούν μέσω EternalBlue, EternalRomance και DoublePulsar - τρεις εκμεταλλεύσεις που διέρρευσαν το 2017 και φέρεται να έχουν αναπτυχθεί από την NSA.

Οι μηχανισμοί αυτοδιάδοσης, σε συνδυασμό με τις τεχνικές ανίχνευσης αποφυγής που προστέθηκαν στη δεύτερη έκδοση του κακόβουλου λογισμικού, μετατρέπουν τον Lucifer σε τρομερή απειλή. Κατά ειρωνικό τρόπο, ωστόσο, ολόκληρη η λειτουργία εξαρτάται από μερικά από τα απλούστερα λάθη που, δυστυχώς, είναι εξαιρετικά κοινά.

Οι εκμεταλλεύσεις της Lucifer στοχεύουν σε γνωστές ευπάθειες που έχουν επιδιορθώσει οι προμηθευτές χρόνια πριν. Είναι σαφές, ωστόσο, ότι οι στοχευόμενοι οργανισμοί δεν μπορούν να ενοχληθούν να εφαρμόσουν τις ενημερώσεις ασφαλείας. Δεν δίνουν αρκετή προσοχή στη διαμόρφωση δικτύου των συσκευών τους, ούτε και πάρα πολύ συχνά, θέτουν σε κίνδυνο τους υπολογιστές τους σε κίνδυνο χρησιμοποιώντας προεπιλεγμένους ή αδύναμους κωδικούς πρόσβασης.

Αυτός είναι ο λόγος για τον οποίο οι οικογένειες κακόβουλου λογισμικού όπως το Lucifer είναι τόσο επιτυχημένες και γι 'αυτό οι ειδικοί δεν μπορούν να αναπνέουν προειδοποιώντας τους χρήστες για τους κινδύνους της παραμέλησης της ασφάλειας.