Les chercheurs exhortent les organisations à renforcer les mots de passe pour défendre les systèmes contre les logiciels malveillants Lucifer auto-propagateurs

Le malware auto-propagé dont nous allons discuter était censé s'appeler Satan, mais comme il existe déjà une famille de ransomwares portant le même nom, les chercheurs de Palo Alto Networks ont décidé de l'appeler Lucifer. L'auteur du malware est probablement plutôt ennuyé par cela, c'est pourquoi nous nous en tiendrons au nouveau nom.

L'unité 42 de Palo Alto Networks a découvert le malware à la fin du mois de mai lorsqu'elle a remarqué une augmentation du nombre d'exploitations d'une vulnérabilité connue d'exécution de code à distance dans le Lavarel Framework. Après l'enquête initiale, les experts ont conclu que Lucifer est remarquable pour sa capacité à lancer des attaques par déni de service distribué (DDoS) et pour le grand nombre d'exploits dont il était équipé. Le 11 juin, cependant, les auteurs de Lucifer ont lancé une deuxième version du malware et ont montré son véritable potentiel.

Lucifer est capable d'une combinaison de cryptojacking et d'attaques DDoS

Après avoir compromis un ordinateur sur un réseau d'entreprise, Lucifer notifie le serveur de commande et de contrôle (C&C) en envoyant des détails sur la machine hôte. Une fois l'infection réussie établie, le C&C peut envoyer l'une des commandes.

Comme nous l'avons déjà mentionné, le malware a d'abord attiré l'attention des chercheurs lorsqu'il a montré au monde qu'il était capable de monter des attaques DDoS. Cependant, lorsque les experts ont examiné de plus près la communication avec le C&C, ils ont remarqué que Lucifer peut également être invité à supprimer XMRig sur la machine hôte.

XMRig est un outil d'exploration de crypto-monnaie conçu pour générer Monero, et il est utilisé de manière tout à fait légitime par les amateurs de crypto-monnaie. Grâce à son déploiement facile et à sa nature open source, il a également joué un rôle clé dans la montée des attaques de cryptojacking.

L'année dernière, le fait d'utiliser illégalement les ressources informatiques d'autres personnes pour générer des pièces numériques a dépassé le ransomware comme la forme la plus prolifique de cybercriminalité, et XMRig a été impliqué dans un grand pourcentage des attaques. Dans le cas de Lucifer, le mineur XMRig a déjà réussi à apporter à ses opérateurs plus de 30 000 $ de Monero, ce qui devrait vous donner une idée de la raison pour laquelle il est si populaire auprès des cybercriminels.

Le produit de l'entreprise DDoS est inconnu pour le moment, mais il est juste de dire qu'en utilisant Lucifer pour deux vecteurs d'attaque distincts, les pirates doublent leurs chances de tirer un profit sérieux du malware. Cela dit, les campagnes de cryptojacking et DDoS réussies reposent sur un grand nombre d'ordinateurs infectés, et il faut dire que les escrocs y ont également pensé.

Lucifer cible les systèmes vulnérables

En plus de la vulnérabilité Lavarel Framework qu'il a exploitée fin mai, Lucifer est également capable de tirer parti d'un certain nombre d'autres failles de sécurité dans les applications d'Oracle, Apache et Microsoft.

Après un compromis réussi sur un ordinateur, il recherche les ports TCP ouverts pour tenter de localiser de nouvelles cibles potentielles, et s'il trouve des périphériques avec une configuration réseau non sécurisée, il utilise un nom d'utilisateur par défaut ainsi qu'une liste de mots de passe couramment utilisés pour essayer de Si le protocole Server Message Block (SMB) est activé, les cibles peuvent être attaquées via EternalBlue, EternalRomance et DoublePulsar - trois exploits qui ont été divulgués en 2017 et auraient été développés par la NSA.

Les mécanismes d'auto-propagation, couplés aux techniques d'évasion de détection ajoutées à la deuxième version du malware, font de Lucifer une menace redoutable. Ironiquement, cependant, toute l'opération dépend de certaines des erreurs les plus simples qui, malheureusement, sont extrêmement courantes.

Les exploits de Lucifer ciblent des vulnérabilités connues que les fournisseurs ont corrigées il y a des années. De toute évidence, cependant, les organisations ciblées ne peuvent pas être gênées d'appliquer les mises à jour de sécurité. Ils ne prêtent pas assez d'attention à la configuration réseau de leurs appareils, et trop souvent, ils mettent involontairement leur ordinateur en danger en utilisant des mots de passe par défaut ou faibles.

C'est pourquoi les familles de logiciels malveillants comme Lucifer réussissent si bien, et c'est pourquoi les experts ne peuvent pas reprendre leur souffle pour avertir les utilisateurs des dangers de négliger la sécurité.