Onderzoekers dringen er bij organisaties op aan om wachtwoorden te versterken om systemen te beschermen tegen de zelfpropagerende Lucifer-malware

De zelfverspreidende malware die we gaan bespreken, zou Satan heten, maar omdat er al een ransomware-familie is met dezelfde naam, besloten de onderzoekers van Palo Alto Networks het Lucifer te noemen. De auteur van de malware is hier waarschijnlijk nogal geïrriteerd door, daarom blijven we bij de nieuwe naam.

Unit 42 van Palo Alto Networks ontdekte de malware eind mei toen het een toename zag in het aantal misbruiken van een bekend beveiligingslek met betrekking tot het uitvoeren van externe code in het Lavarel Framework. Na het eerste onderzoek concludeerden de experts dat Lucifer bekend staat om zijn vermogen om Distributed Denial of Service (DDoS) -aanvallen uit te voeren en om het grote aantal exploits waarmee het was uitgerust. Op 11 juni lanceerden de auteurs van Lucifer echter een tweede versie van de malware en toonden ze hun ware potentieel.

Lucifer is in staat tot een combinatie van cryptojacking en DDoS-aanvallen

Nadat het een computer op een bedrijfsnetwerk heeft gecompromitteerd, stelt Lucifer de Command and Control-server (C&C) op de hoogte door enkele details over de hostmachine te verzenden. Zodra de succesvolle infectie is vastgesteld, kan de C&C een van de verschillende opdrachten verzenden.

Zoals we al vermeldden, trok de malware voor het eerst de aandacht van de onderzoekers toen het de wereld liet zien dat het in staat is om DDoS-aanvallen op te zetten. Toen de experts de communicatie met de C&C echter nader bekeken, merkten ze dat Lucifer de opdracht kan krijgen om XMRig ook op de hostcomputer te laten vallen.

XMRig is een cryptocurrency-mijnbouwtool ontworpen om Monero te genereren en wordt volledig legitiem gebruikt door liefhebbers van cryptocurrency. Dankzij de eenvoudige implementatie en het open-source karakter heeft het echter ook een sleutelrol gespeeld bij de opkomst van cryptojacking-aanvallen.

Vorig jaar werd de ransomware als de meest productieve vorm van cybercriminaliteit overschaduwd door het illegaal gebruiken van andermans computerbronnen om digitale munten te genereren, en XMRig was betrokken bij een groot percentage van de aanvallen. In het geval van Lucifer is de XMRig-mijnwerker er al in geslaagd zijn operators meer dan $ 30 duizend aan Monero te brengen, wat je een idee zou moeten geven waarom het zo populair is bij cybercriminelen.

De opbrengsten van de DDoS-business zijn voorlopig onbekend, maar het is redelijk om te zeggen dat de hackers door Lucifer te gebruiken voor twee afzonderlijke aanvalsvectoren hun kansen verdubbelen om een serieuze winst te maken met de malware. Dat gezegd hebbende, succesvolle cryptojacking- en DDoS-campagnes zijn afhankelijk van een groot aantal geïnfecteerde computers, en het moet gezegd dat de boeven daar ook over nagedacht hebben.

Lucifer richt zich op kwetsbare systemen

Naast de Lavarel Framework-kwetsbaarheid die eind mei werd misbruikt, kan Lucifer ook profiteren van een aantal andere beveiligingsfouten in applicaties van Oracle, Apache en Microsoft.

Na een succesvol compromis van één computer zoekt het naar open TCP-poorten in een poging om potentiële nieuwe doelen te lokaliseren, en als het apparaten met een onveilige netwerkconfiguratie vindt, gebruikt het een standaard gebruikersnaam samen met een lijst met veelgebruikte wachtwoorden om te proberen en brute-force zijn weg naar binnen. Als het Server Message Block (SMB) -protocol is ingeschakeld, kunnen doelen worden aangevallen via EternalBlue, EternalRomance en DoublePulsar - drie exploits die in 2017 zijn gelekt en naar verluidt zijn ontwikkeld door de NSA.

De mechanismen voor zelfvermeerdering, gecombineerd met de technieken voor detectie-ontwijking die aan de tweede versie van de malware zijn toegevoegd, maken van Lucifer een geduchte bedreiging. Ironisch genoeg is de hele operatie echter afhankelijk van enkele van de eenvoudigste fouten die helaas zeer vaak voorkomen.

De exploits van Lucifer richten zich op bekende kwetsbaarheden die de leveranciers jaren geleden hebben gepatcht. Het is echter duidelijk dat de beoogde organisaties niet de moeite kunnen nemen om de beveiligingsupdates toe te passen. Ze besteden ook niet genoeg aandacht aan de netwerkconfiguratie van hun apparaten en veel te vaak brengen ze onbewust hun computers in gevaar door standaard of zwakke wachtwoorden te gebruiken.

Daarom zijn malwarefamilies zoals Lucifer zo succesvol en daarom kunnen experts niet op adem komen om gebruikers te waarschuwen voor de gevaren van het negeren van beveiliging.