Forskere oppfordrer organisasjoner til å styrke passord for å forsvare systemer mot det selvutbredende Lucifer-malware

Den egenutbredende skadelige programvaren vi skulle diskutere, skulle egentlig kalles Satan, men fordi det allerede er en ransomware-familie som har samme navn, bestemte Palo Alto Networks forskere å kalle det Lucifer. Forfatteren til skadelig programvare er sannsynligvis ganske irritert av dette, og det er grunnen til at vi holder oss med det nye navnet.

Palo Alto Networks 'Unit 42 oppdaget skadelig programvare i slutten av mai da den merket en økning i antall utnyttelser av et kjent sårbarhet for ekstern kjøring av kode i Lavarel Framework. Etter den første undersøkelsen konkluderte ekspertene med at Lucifer er kjent for sin evne til å sette i gang DDoS-angrep (Distribuerte Denial of Service) og for det store antallet utnyttelser det var utstyrt med. 11. juni lanserte Lucifers forfattere imidlertid en andre versjon av skadelig programvare og viste frem dets sanne potensiale.

Lucifer er i stand til en kombinasjon av cryptojacking og DDoS-angrep

Etter at den har kompromittert en datamaskin i et bedriftsnettverk, varsler Lucifer kommando- og kontrollserveren (C&C) ved å sende noen detaljer om vertsmaskinen. Når den vellykkede infeksjonen er etablert, kan C&C sende en av flere kommandoer.

Som vi allerede nevnte, fanget malware først forskernes oppmerksomhet da den viste verden at den er i stand til å montere DDoS-angrep. Da ekspertene undersøkte kommunikasjonen med C&C nærmere, la de imidlertid merke til at Lucifer også kan få beskjed om å slippe XMRig på vertsmaskinen.

XMRig er et gruvedriftverktøy for cryptocurrency designet for å generere Monero, og det brukes helt legitimt av cryptocurrency-entusiaster. Takket være den enkle distribusjonen og dens åpen kildekode, har den imidlertid også spilt en nøkkelrolle i fremveksten av kryptojakkeangrep.

I fjor overtok handlingen med å bruke andre menneskers datamaskinressurser til å generere digitale mynter ransomware som den mest produktive nettkriminaliteten, og XMRig var involvert i en stor prosentandel av angrepene. Når det gjelder Lucifer, har XMRig-gruvearbeideren allerede klart å bringe operatørene mer enn $ 30 000 dollar til Monero, noe som burde gi deg et inntrykk av hvorfor det er så populært blant nettkriminelle.

Inntektene fra DDoS-virksomheten er ukjent foreløpig, men det er rimelig å si at ved å bruke Lucifer for to separate angrepsvektorer, dobler hackerne sjansen for å tjene et alvorlig utbytte av skadelig programvare. Når det er sagt, er vellykket kryptokjetting og DDoS-kampanjer avhengig av et stort antall infiserte datamaskiner, og det må sies at skurkene har tenkt på det også.

Lucifer retter seg mot sårbare systemer

I tillegg til Lavarel Framework-sårbarheten som den utnyttet i slutten av mai, er Lucifer også i stand til å dra nytte av en rekke andre sikkerhetsfeil i applikasjoner fra Oracle, Apache og Microsoft.

Etter et vellykket kompromiss med en datamaskin, søker den etter åpne TCP-porter i et forsøk på å finne potensielle nye mål, og hvis den finner enheter med usikker nettverkskonfigurasjon, bruker den et standard brukernavn sammen med en liste over ofte brukte passord for å prøve og brute-force sin vei inn. Hvis Server Message Block (SMB) -protokollen er aktivert, kan mål angripes via EternalBlue, EternalRomance og DoublePulsar - tre utnyttelser som ble lekket i 2017 og angivelig ble utviklet av NSA.

Selvutbredelsesmekanismene, kombinert med deteksjonsundvikelsesteknikkene som ble lagt til den andre versjonen av skadelig programvare, gjør Lucifer til en formidabel trussel. Ironisk nok er imidlertid hele operasjonen avhengig av noen av de enkleste feilene som dessverre er ekstremt vanlige.

Lucifers utnyttelse retter seg mot kjente sårbarheter som leverandørene har lappet for mange år siden. Det er imidlertid klart at de målrettede organisasjonene ikke kan bry deg om å bruke sikkerhetsoppdateringene. De tar ikke nok oppmerksomhet til enhetene sine nettverkskonfigurasjon, heller, og altfor ofte setter de ubevisst datamaskiner i fare ved å bruke standard eller svake passord.

Det er grunnen til at malware-familier som Lucifer er så vellykkede, og det er derfor eksperter ikke kan ta pusten fra dem som advarer brukere om farene ved å forsømme sikkerheten.