Los investigadores están instando a las organizaciones a fortalecer las contraseñas para defender los sistemas contra el malware Lucifer autopropagado

Se suponía que el malware autopropagante que estamos a punto de discutir se llamará Satanás, pero debido a que ya hay una familia de ransomware con el mismo nombre, los investigadores de Palo Alto Networks decidieron llamarlo Lucifer. El autor del malware probablemente está bastante molesto por esto, por lo que nos quedaremos con el nuevo nombre.

La Unidad 42 de Palo Alto Networks descubrió el malware a fines de mayo cuando notó un aumento en el número de explotaciones de una vulnerabilidad conocida de ejecución remota de código en el Marco de Lavarel. Después de la investigación inicial, los expertos concluyeron que Lucifer es notable por su capacidad para lanzar ataques de denegación de servicio distribuido (DDoS) y por la gran cantidad de exploits con los que estaba equipado. Sin embargo, el 11 de junio, los autores de Lucifer lanzaron una segunda versión del malware y mostraron su verdadero potencial.

Lucifer es capaz de una combinación de criptojacking y ataques DDoS

Después de comprometer una computadora en una red corporativa, Lucifer notifica al servidor de Comando y Control (C&C) enviando algunos detalles sobre la máquina host. Una vez que se ha establecido la infección exitosa, los C&C pueden enviar uno de varios comandos.

Como ya mencionamos, el malware primero llamó la atención de los investigadores cuando mostró al mundo que es capaz de montar ataques DDoS. Sin embargo, cuando los expertos examinaron la comunicación con los C&C más de cerca, notaron que Lucifer también puede recibir instrucciones para soltar XMRig en la máquina host.

XMRig es una herramienta de minería de criptomonedas diseñada para generar Monero, y los entusiastas de las criptomonedas la usan de manera completamente legítima. Sin embargo, gracias a su fácil implementación y su naturaleza de código abierto, también ha desempeñado un papel clave en el aumento de los ataques de criptojacking.

El año pasado, el acto de usar ilegalmente los recursos informáticos de otras personas para generar monedas digitales superó al ransomware como la forma más prolífica de cibercrimen, y XMRig estuvo involucrado en un gran porcentaje de los ataques. En el caso de Lucifer, el minero XMRig ya ha logrado traer a sus operadores más de $ 30 mil en Monero, lo que debería darle una idea de por qué es tan popular entre los delincuentes cibernéticos.

Las ganancias del negocio DDoS son desconocidas por el momento, pero es justo decir que al usar Lucifer para dos vectores de ataque separados, los piratas informáticos están duplicando sus posibilidades de obtener una gran ganancia del malware. Dicho esto, las campañas exitosas de criptojacking y DDoS dependen de un gran número de computadoras infectadas, y hay que decir que los delincuentes también han pensado en eso.

Lucifer apunta a sistemas vulnerables

Además de la vulnerabilidad de Lavarel Framework que explotó a fines de mayo, Lucifer también es capaz de aprovechar una serie de otras fallas de seguridad en las aplicaciones de Oracle, Apache y Microsoft.

Después de un compromiso exitoso de una computadora, busca puertos TCP abiertos en un intento de localizar nuevos objetivos potenciales, y si encuentra dispositivos con una configuración de red no segura, utiliza un nombre de usuario predeterminado junto con una lista de contraseñas de uso común para intentar fuerza bruta. Si el protocolo Bloque de mensajes del servidor (SMB) está habilitado, los objetivos pueden ser atacados a través de EternalBlue, EternalRomance y DoublePulsar, tres exploits que se filtraron en 2017 y supuestamente fueron desarrollados por la NSA.

Los mecanismos de autopropagación, junto con las técnicas de evasión de detección que se agregaron a la segunda versión del malware, convierten a Lucifer en una amenaza formidable. Irónicamente, sin embargo, toda la operación depende de algunos de los errores más simples que, desafortunadamente, son extremadamente comunes.

Las hazañas de Lucifer apuntan a vulnerabilidades conocidas que los proveedores han parcheado años atrás. Claramente, sin embargo, las organizaciones objetivo no pueden molestarse en aplicar las actualizaciones de seguridad. Tampoco prestan suficiente atención a la configuración de red de sus dispositivos y, con demasiada frecuencia, ponen en riesgo sus computadoras sin darse cuenta al usar contraseñas predeterminadas o débiles.

Es por eso que las familias de malware como Lucifer tienen tanto éxito, y es por eso que los expertos no pueden quedarse sin aliento advirtiendo a los usuarios sobre los peligros de descuidar la seguridad.