研究者は、組織に自己増殖型ルシファーマルウェアからシステムを守るためにパスワードを強化するように求めています
これから説明する自己増殖型マルウェアはサタンと呼ばれるはずでしたが、同じ名前のランサムウェアファミリーがすでに存在するため、パロアルトネットワークスの研究者はそれをルシファーと呼ぶことにしました。マルウェアの作者はおそらくこれにかなり苛立っているので、新しい名前を使用することにします。
Palo Alto NetworksのUnit 42 は 、5月下旬にLavarel Frameworkの既知のリモートコード実行の脆弱性の悪用の数の増加に気づいたときにマルウェアを発見しました。最初の調査の後、専門家は、Luciferが分散型サービス拒否(DDoS)攻撃を仕掛ける能力とそれが備えた多数のエクスプロイトについて注目に値すると結論しました。しかし、6月11日、Luciferの作者はマルウェアの2番目のバージョンをリリースし、その真の可能性を示しました。
Luciferは、クリプトジャッキングとDDoS攻撃の組み合わせが可能です
企業ネットワーク上のコンピュータが危険にさらされた後、Luciferはホストマシンに関するいくつかの詳細を送信してCommand and Controlサーバー(C&C)に通知します。感染が成功すると、C&Cはいくつかのコマンドのいずれかを送信できます。
すでに述べたように、DDoS攻撃を仕掛けることができることを世界に示したとき、マルウェアは最初に研究者の注目を集めました。しかし、専門家がC&Cとの通信をより詳細に検討したところ、LuciferがXMRigをホストマシンにもドロップするように指示できることに気付きました。
XMRigは、Moneroを生成するために設計された暗号通貨マイニングツールであり、暗号通貨愛好家によって完全に合法的に使用されています。しかし、簡単な導入とオープンソースの性質のおかげで、クリプトジャッキング攻撃の増加に重要な役割を果たしてきました。
昨年、デジタルコインを生成するために他人のコンピューターリソースを違法に使用する行為は、ランサムウェアをサイバー犯罪の最も多発した形態として追い越し、XMRigは攻撃の大部分に関与しました。 Luciferの場合、XMRigマイナーはすでに3万ドルを超えるMoneroを事業者に提供しています。これにより、サイバー犯罪者に非常に人気がある理由がわかります。
DDoSビジネスからの収益は今のところ不明ですが、2つの別々の攻撃ベクトルにLuciferを使用することにより、ハッカーはマルウェアから深刻な利益を得る可能性を倍増させていると言えます。とはいえ、クリプトジャッキングやDDoSキャンペーンの成功は、感染したコンピューターの膨大な数に依存しており、詐欺師も同様にそれを考えていたと言わざるを得ません。
ルシファーは脆弱なシステムを標的としています
5月下旬に悪用されたLavarelフレームワークの脆弱性に加えて、LuciferはOracle、Apache、Microsoftのアプリケーションにある他の多くのセキュリティ上の欠陥を利用することもできます。
1台のコンピューターの侵害が成功した後、潜在的な新しいターゲットを見つけるために開いているTCPポートをスキャンし、安全でないネットワーク構成のデバイスを見つけた場合、デフォルトのユーザー名と一般的に使用されるパスワードのリストを使用して、サーバーメッセージブロック(SMB)プロトコルが有効になっている場合、ターゲットはEternalBlue、EternalRomance、およびDoublePulsarを介して攻撃される可能性があります。2017年にリークされ、NSAによって開発されたとされる3つのエクスプロイトです。
マルウェアの2番目のバージョンに追加された検出回避技術と相まって、自己増殖メカニズムはLuciferを恐るべき脅威に変えます。しかし皮肉なことに、全体の操作は残念ながら非常に一般的ないくつかの最も単純な間違いに依存しています。
Luciferのエクスプロイトは、ベンダーが数年前にパッチを適用した既知の脆弱性を標的にしています。ただし、明らかに、対象の組織がセキュリティ更新プログラムを適用することに煩わされることはありません。また、デバイスのネットワーク構成に十分な注意を払っていません。また、デフォルトのパスワードや脆弱なパスワードを使用して、無意識のうちにコンピューターを危険にさらしています。
そのため、Luciferのようなマルウェアファミリは非常に成功しており、セキュリティを無視することの危険性について専門家がユーザーに警告することができないのはそのためです。