I ricercatori stanno sollecitando le organizzazioni a rafforzare le password per difendere i sistemi contro il malware auto-propagante Lucifer

Lucifer Self-Propagating Malware

Il malware auto-propagante che stiamo per discutere avrebbe dovuto chiamarsi Satana, ma poiché esiste già una famiglia di ransomware che porta lo stesso nome, i ricercatori di Palo Alto Networks hanno deciso di chiamarlo Lucifero. L'autore del malware è probabilmente piuttosto infastidito da questo, motivo per cui rimarremo con il nuovo nome.

L'Unità 42 di Palo Alto Networks ha scoperto il malware a fine maggio quando ha notato un aumento del numero di sfruttamenti di una vulnerabilità nota nell'esecuzione di codice in modalità remota nel Framework Lavarel. Dopo l'inchiesta iniziale, gli esperti hanno concluso che Lucifero è noto per la sua capacità di lanciare attacchi DDoS (Distributed Denial of Service) e per il gran numero di exploit di cui era dotato. L'11 giugno, tuttavia, gli autori di Lucifer hanno lanciato una seconda versione del malware e ne hanno mostrato il vero potenziale.

Lucifer è in grado di una combinazione di criptojacking e attacchi DDoS

Dopo aver compromesso un computer in una rete aziendale, Lucifer avvisa il server di comando e controllo (C&C) inviando alcuni dettagli sulla macchina host. Una volta stabilita l'infezione riuscita, C&C può inviare uno dei numerosi comandi.

Come già accennato, il malware ha catturato l'attenzione dei ricercatori per la prima volta quando ha dimostrato al mondo che è in grado di montare attacchi DDoS. Quando gli esperti hanno esaminato più da vicino la comunicazione con il C&C, hanno notato che Lucifer può essere istruito a rilasciare XMRig anche sul computer host.

XMRig è uno strumento di mining di criptovaluta progettato per generare Monero ed è utilizzato in modo completamente legittimo dagli appassionati di criptovaluta. Grazie alla facile implementazione e alla sua natura open source, tuttavia, ha anche svolto un ruolo chiave nell'aumento degli attacchi di criptojacking.

L'anno scorso, l'atto di utilizzare illegalmente le risorse informatiche di altre persone per generare monete digitali ha superato il ransomware come la forma più prolifica di crimine informatico e XMRig è stato coinvolto in una grande percentuale degli attacchi. Nel caso di Lucifero, il minatore XMRig è già riuscito a portare i suoi operatori a Monero per un valore di oltre 30 mila dollari, il che dovrebbe darti un'idea del perché è così popolare tra i criminali informatici.

I proventi del business DDoS sono sconosciuti per ora, ma è giusto dire che usando Lucifer per due vettori di attacco separati, gli hacker raddoppiano le loro possibilità di ottenere un serio profitto dal malware. Detto questo, il successo del cryptojacking e delle campagne DDoS si basano su un gran numero di computer infetti, e bisogna dire che anche i criminali ci hanno pensato.

Lucifero prende di mira i sistemi vulnerabili

Oltre alla vulnerabilità di Lavarel Framework che ha sfruttato a fine maggio, Lucifer è anche in grado di sfruttare una serie di altri difetti di sicurezza nelle applicazioni di Oracle, Apache e Microsoft.

Dopo un compromesso riuscito di un computer, cerca porte TCP aperte nel tentativo di individuare potenziali nuovi target e, se trova dispositivi con configurazione di rete non sicura, utilizza un nome utente predefinito insieme a un elenco di password comunemente utilizzate per provare e forza bruta che si fa strada. Se il protocollo Server Message Block (SMB) è abilitato, i target possono essere attaccati tramite EternalBlue, EternalRomance e DoublePulsar, tre exploit che sono trapelati nel 2017 e presumibilmente sviluppati dall'NSA.

I meccanismi di auto-propagazione, associati alle tecniche di evasione del rilevamento aggiunte alla seconda versione del malware, trasformano Lucifero in una formidabile minaccia. Abbastanza ironicamente, tuttavia, l'intera operazione dipende da alcuni degli errori più semplici che, sfortunatamente, sono estremamente comuni.

Gli exploit di Lucifero colpiscono vulnerabilità note che i venditori hanno corretto anni fa. Chiaramente, tuttavia, le organizzazioni target non possono essere disturbate ad applicare gli aggiornamenti di sicurezza. Non prestano abbastanza attenzione alla configurazione di rete dei loro dispositivi, e troppo spesso mettono inconsapevolmente a rischio i loro computer usando password predefinite o deboli.

Ecco perché le famiglie di malware come Lucifer hanno così tanto successo, ed è per questo che gli esperti non riescono a riprendere fiato avvertendo gli utenti dei pericoli di trascurare la sicurezza.

June 25, 2020

Lascia un Commento