Naukowcy wzywają organizacje do wzmocnienia haseł w celu obrony systemów przed samorozprzestrzeniającym się szkodliwym oprogramowaniem Lucyfera

Samo rozprzestrzeniające się złośliwe oprogramowanie, o którym będziemy rozmawiać, miało być nazwane Szatanem, ale ponieważ istnieje już rodzina ransomware o tej samej nazwie, badacze Palo Alto Networks postanowili nazwać ją Lucyfer. Autor złośliwego oprogramowania jest prawdopodobnie raczej zirytowany, dlatego będziemy trzymać się nowej nazwy.

Jednostka 42 firmy Palo Alto Networks odkryła złośliwe oprogramowanie pod koniec maja, kiedy zauważyła wzrost liczby wykorzystania znanej luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu w Lavarel Framework. Po wstępnym dochodzeniu eksperci doszli do wniosku, że Lucyfer wyróżnia się zdolnością do przeprowadzania ataków Distributed Denial of Service (DDoS) oraz dużą liczbą exploitów, w które był wyposażony. Jednak 11 czerwca autorzy Lucyfera uruchomili drugą wersję złośliwego oprogramowania i pokazali jego prawdziwy potencjał.

Lucyfer jest zdolny do kombinacji ataków kryptograficznych i ataków DDoS

Po zainfekowaniu komputera w sieci firmowej Lucyfer powiadamia serwer dowodzenia i kontroli (C&C), wysyłając szczegółowe informacje na temat komputera hosta. Po ustaleniu udanej infekcji centrum kontroli może wysłać jedno z kilku poleceń.

Jak już wspomniano, złośliwe oprogramowanie po raz pierwszy zwróciło uwagę badaczy, gdy pokazało światu, że jest w stanie przeprowadzać ataki DDoS. Kiedy eksperci przyjrzeli się bliżej komunikacji z C&C, zauważyli jednak, że Lucyfer może zostać poinstruowany, aby upuścić XMRig również na maszynie hosta.

XMRig jest narzędziem do wydobywania kryptowalut zaprojektowanym do generowania Monero i jest całkowicie legalnie używane przez entuzjastów kryptowaluty. Jednak dzięki łatwemu wdrożeniu i otwartemu oprogramowaniu odegrał także kluczową rolę w powstaniu ataków kryptowalut.

W ubiegłym roku akt nielegalnego wykorzystywania zasobów komputerowych innych ludzi do generowania monet cyfrowych wyprzedził oprogramowanie ransomware jako najbardziej płodną formę cyberprzestępczości, a XMRig był zaangażowany w duży procent ataków. W przypadku Lucyfera, górnikowi XMRig udało się już przynieść swoim operatorom Monero o wartości ponad 30 tysięcy dolarów, co powinno dać ci pojęcie, dlaczego jest tak popularny wśród cyberprzestępców.

Wpływy z działalności DDoS są na razie nieznane, ale można powiedzieć, że używając Lucyfera do dwóch osobnych wektorów ataku hakerzy podwajają swoje szanse na osiągnięcie poważnego zysku ze złośliwego oprogramowania. To powiedziawszy, skuteczne kryptowaluty i kampanie DDoS polegają na ogromnej liczbie zainfekowanych komputerów i trzeba powiedzieć, że oszuści też o tym pomyśleli.

Lucyfer atakuje wrażliwe systemy

Oprócz luki w oprogramowaniu Lavarel Framework, którą wykorzystał pod koniec maja, Lucyfer jest również w stanie wykorzystać szereg innych luk bezpieczeństwa w aplikacjach Oracle, Apache i Microsoft.

Po udanym przejściu na jeden komputer skanuje w poszukiwaniu otwartych portów TCP, próbując zlokalizować potencjalne nowe cele, a jeśli znajdzie urządzenia z niezabezpieczoną konfiguracją sieci, używa domyślnej nazwy użytkownika wraz z listą często używanych haseł, aby spróbować brutalna siła. Jeśli protokół SMB (Server Message Block) jest włączony, cele mogą być atakowane przez EternalBlue, EternalRomance i DoublePulsar - trzy exploity, które wyciekły w 2017 roku i zostały rzekomo opracowane przez NSA.

Mechanizmy autop propagacji w połączeniu z technikami unikania wykrywania, które zostały dodane do drugiej wersji złośliwego oprogramowania, zamieniają Lucyfera w ogromne zagrożenie. Jak na ironię, cała operacja zależy jednak od najprostszych błędów, które niestety są niezwykle powszechne.

Exploity Lucyfera atakują znane luki, które producenci załatali lata temu. Najwyraźniej jednak docelowym organizacjom nie przeszkadza stosowanie aktualizacji zabezpieczeń. Nie zwracają wystarczającej uwagi na konfigurację sieci swoich urządzeń i zbyt często nieświadomie narażają komputery na niebezpieczeństwo, używając domyślnych lub słabych haseł.

Właśnie dlatego rodziny szkodliwego oprogramowania, takie jak Lucyfer, odnoszą tak wielki sukces i dlatego eksperci nie mogą złapać oddechu, ostrzegając użytkowników przed niebezpieczeństwem zaniedbania bezpieczeństwa.