Tyrėjai ragina organizacijas sustiprinti slaptažodžius, kad apsaugotų sistemas nuo savaime plintančios „Lucifer“ kenkėjiškos programos

Lucifer Self-Propagating Malware

Savarankiškai sklindanti kenkėjiška programa, apie kurią mes diskutuojame, turėjo būti vadinama šėtonu, tačiau kadangi jau yra išpirkos programų šeima tuo pačiu vardu, „Palo Alto Networks“ tyrėjai nusprendė ją pavadinti Liuciferiu. Kenkėjiškų programų autorius tikriausiai tai gana erzino, todėl mes ir laikysimės naujojo pavadinimo.

„Palo Alto Networks“ 42 skyrius atrado kenkėjiškas programas gegužės pabaigoje, kai pastebėjo, kad padaugėja žinomų nuotolinio kodo vykdymo pažeidžiamumo atvejų „Lavarel“ sistemoje. Atlikę pirminį tyrimą, ekspertai padarė išvadą, kad Liuciferis pasižymi gebėjimu pradėti paskirstytų paslaugų atsisakymo (DDoS) išpuolius ir dėl daugybės išnaudojimų, kuriais jis buvo aprūpintas. Tačiau birželio 11 d. „Lucifer“ autoriai išleido antrąją kenkėjiškos programos versiją ir parodė jos tikrąjį potencialą.

Liuciferis gali sujungti kriptovaliutų ir DDoS atakas

Po to, kai kyla pavojus įmonės tinkle esančiam kompiuteriui, „Lucifer“ praneša komandos ir valdymo serveriui (C&C), nusiųsdamas tam tikrą informaciją apie pagrindinį kompiuterį. Nustačius sėkmingą užkrėtimą, C&C gali nusiųsti vieną iš kelių komandų.

Kaip jau minėjome, kenkėjiška programa pirmiausia atkreipė tyrėjų dėmesį, kai pasauliui parodė, kad ji gali pritaikyti DDoS atakas. Kai ekspertai atidžiau ištyrė ryšį su C&C, jie pastebėjo, kad Liuciferiui taip pat gali būti liepta mesti XMRig ant pagrindinio kompiuterio.

„XMRig“ yra kriptovaliutų gavybos įrankis, skirtas generuoti „Monero“, ir jį visiškai teisėtai naudoja kriptovaliutos entuziastai. Dėl lengvo diegimo ir atvirojo kodo pobūdžio, jis taip pat suvaidino pagrindinį vaidmenį didėjant kriptovaliutų išpuoliams.

Praėjusiais metais neteisėtai pasinaudojus kitų žmonių kompiuterių ištekliais skaitmeninėms monetoms generuoti buvo paslėpta išpirkos programinė įranga, kaip labiausiai paplitusi kibernetinių nusikaltimų forma, o XMRig dalyvavo didelėje atakų dalyje. „Lucifer“ atveju „XMRig“ šachtininkas savo operatoriams jau sugebėjo atnešti daugiau nei 30 tūkst. USD vertės „Monero“, kuris turėtų suteikti jums supratimo, kodėl jis toks populiarus tarp kibernetinių nusikaltėlių.

Pajamos iš „DDoS“ verslo kol kas nežinomos, tačiau teisinga sakyti, kad panaudodami „Lucifer“ dviem atskiriems išpuolių vektoriams, įsilaužėliai padvigubina savo galimybes uždirbti didelę pelną iš kenkėjiškų programų. Nepaisant to, sėkmingos šifravimo ir DDoS kampanijos priklauso nuo daugybės užkrėstų kompiuterių, ir reikia pasakyti, kad sukčiai taip pat galvojo apie tai.

Liuciferis taiko pažeidžiamas sistemas

Be „Lavarel Framework“ pažeidžiamumo, kurį ji išnaudojo gegužės pabaigoje, „Lucifer“ taip pat gali pasinaudoti daugybe kitų saugumo trūkumų, susijusių su „Oracle“, „Apache“ ir „Microsoft“ programomis.

Po sėkmingo vieno kompiuterio kompromiso, jis ieško atvirų TCP prievadų bandydamas surasti galimus naujus taikinius. Jei jis randa įrenginius su nesaugia tinklo konfigūracija, naudoja numatytąjį vartotojo vardą kartu su dažniausiai naudojamų slaptažodžių sąrašu bandydamas ir Jei įgalintas serverio pranešimų bloko (SMB) protokolas, taikinius galima pulti naudojant „EternalBlue“, „EternalRomance“ ir „DoublePulsar“ - tris išnaudojimus, kurie nutekėjo 2017 m. ir kuriuos tariamai sukūrė NSA.

Savaiminio dauginimo mechanizmai kartu su aptikimo vengimo būdais, kurie buvo įtraukti į antrąją kenkėjiškos programos versiją, paverčia Luciferį grėsminga. Kaip bebūtų keista, tačiau visa operacija priklauso nuo keleto paprasčiausių klaidų, kurios, deja, yra ypač dažnos.

„Lucifer“ naudojasi žinomomis spragomis, kurias pardavėjai užtaisė prieš metus. Tačiau akivaizdu, kad tikslinės organizacijos negali būti varginamos pritaikyti saugos naujinius. Jie taip pat nekreipia pakankamai dėmesio į savo įrenginių tinklo konfigūraciją ir pernelyg dažnai netyčia rizikuoja savo kompiuteriais naudodamiesi numatytaisiais ar silpnais slaptažodžiais.

Štai kodėl tokios kenkėjiškų programų šeimos kaip Luciferis yra tokios sėkmingos, todėl ekspertai negali atsikvėpti, įspėdami vartotojus apie saugumo nepaisymo pavojus.

June 25, 2020

Palikti atsakymą