A kutatók sürgetik a szervezeteket, hogy erősítsék meg a jelszavakat, hogy megvédjék a rendszereket az önszaporodó Lucifer malware ellen
Az önterjesztő rosszindulatú programokat, amelyekről megbeszéljük, Sátánnak kellett nevezni, de mivel már létezik egy azonos nevű ransomware család, a Palo Alto Networks kutatói úgy döntöttek, hogy Lucifernek hívják. A rosszindulatú programok szerzőjét valószínűleg inkább bosszantja ez az oka, ezért ragaszkodunk az új névhez.
A Palo Alto Networks 42-es blokkja május végén fedezte fel a rosszindulatú programokat, amikor észrevette, hogy a Lavarel-keretrendszerben ismert távoli kódvégrehajtási sebezhetőség kihasználtsága növekszik. A kezdeti vizsgálat után a szakértők arra a következtetésre jutottak, hogy a Lucifer figyelemre méltó az elosztott szolgáltatásmegtagadási (DDoS) támadások elindítására való képessége miatt, valamint a nagyszámú kizsákmányolás miatt, amelyet fel vannak szerelve. Június 11-én azonban a Lucifer szerzői elindították a rosszindulatú programok második verzióját, és megmutatták annak valódi potenciálját.
A Lucifer képes titkosítás és DDoS támadások kombinációjára
Miután kompromittálta a vállalati hálózaton lévő számítógépet, Lucifer értesíti a Parancs- és Vezérlőszervert (C&C), küldve néhány részletet a gazdagépről. A sikeres fertőzés megállapítása után a C&C több parancs egyikét is elküldheti.
Mint már említettük, a rosszindulatú program először felhívta a kutatók figyelmét, amikor megmutatta a világnak, hogy képes DDoS támadások elhelyezésére. Amikor a szakértők közelebbről megvizsgálták a C&C-vel folytatott kommunikációt, észrevették, hogy Lucifernek utasíthatják, hogy az XMRig-t is a host gépen dobja el.
Az XMRig egy kriptovaluták bányász eszköze, melynek célja a Monero előállítása, és a titkos valuta rajongói teljesen jogszerűen használják. Az egyszerű telepítésnek és a nyílt forráskódú jellegének köszönhetően kulcsszerepet játszott a rejtjelezéses támadások előfordulásában is.
Tavaly más emberek számítógépes erőforrásainak digitális érmék előállítására való illegális felhasználása túllépte a ransomware szoftvert, mint a kiberbűnözés legtermékenyebb formáját, és az XMRig részt vett a támadások nagy részében. Lucifer esetében az XMRig bányász már sikerült több, mint 30 ezer dolláros Monero-t behozni üzemeltetõinek, ami elõsegítheti Önt, miért olyan népszerű a számítógépes bűnözők körében.
A DDoS üzletből származó bevételek egyelőre nem ismertek, ám ez igazságos azt mondani, hogy a Lucifer két különálló támadási vektorral történő felhasználásával a hackerek megkétszerezik annak esélyét, hogy komoly profitot szerezzenek a rosszindulatú programoktól. Mindemellett a sikeres kriptozerek és a DDoS kampányok nagyszámú fertőzött számítógépen támaszkodnak, és azt kell mondani, hogy a csalók erre is gondolkodtak.
A Lucifer veszélyeztetett rendszereket céloz meg
A május végén kiaknázott Lavarel-keretrendszer sérülékenységén túl a Lucifer képes felhasználni számos egyéb biztonsági hibát az Oracle, az Apache és a Microsoft alkalmazásaiban.
Az egyik számítógép sikeres kompromisszuma után megvizsgálja a nyitott TCP-portokat, hogy megkísérelje megkeresni a lehetséges új célokat, és ha nem biztonságos hálózati konfigurációval rendelkező eszközöket talál, akkor alapértelmezett felhasználónevet és a leggyakrabban használt jelszavak listáját használja a A kiszolgálóüzenet-blokkolás (SMB) protokoll engedélyezése esetén a célokat megtámadhatják az EternalBlue, az EternalRomance és a DoublePulsar segítségével - három, 2017-ben kiszivárogtatott, és az NSA állítólag kifejlesztett kihasználásával.
Az önterjesztési mechanizmusok, valamint a rosszindulatú programok második verziójához hozzáadott észlelési kijátszási technikákkal együtt, Luciferot félelmetes fenyegetéssé teszik. Ironikus módon, az egész művelet a legegyszerűbb hibák néhányától függ, amelyek sajnos rendkívül gyakoriak.
A Lucifer kiaknázza az ismert sebezhetőségeket, amelyeket a gyártók évekkel ezelőtt javítottak. Világos azonban, hogy a megcélzott szervezetek nem zavarhatják a biztonsági frissítések alkalmazását. Nem fordítanak kellő figyelmet az eszközök hálózati konfigurációjára, és túlságosan gyakran akaratlanul veszélyeztetik számítógépüket alapértelmezett vagy gyenge jelszavak használatával.
Ezért olyan rosszindulatú családok, mint a Lucifer, olyan sikeresek, és ezért a szakértők nem tudják elkapni a figyelmüket, figyelmeztetve a felhasználókat a biztonság elhanyagolásának veszélyeire.