Pesquisadores pedem às organizações que fortaleçam senhas para defender sistemas contra o malware Lucifer autopropagável

O malware de propagação automática que estamos prestes a discutir deveria se chamar Satan, mas como já existe uma família de ransomware com o mesmo nome, os pesquisadores da Palo Alto Networks decidiram chamá-lo de Lucifer. O autor do malware provavelmente está bastante aborrecido com isso, e é por isso que permaneceremos com o novo nome.

A Unidade 42 da Palo Alto Networks descobriu o malware no final de maio, quando notou um aumento no número de explorações de uma vulnerabilidade de execução remota de código conhecida no Lavarel Framework. Após a investigação inicial, os especialistas concluíram que o Lucifer é notável por sua capacidade de lançar ataques de negação de serviço distribuída (DDoS) e pelo grande número de explorações com as quais estava equipado. Em 11 de junho, no entanto, os autores do Lucifer lançaram uma segunda versão do malware e mostraram seu verdadeiro potencial.

Lucifer é capaz de uma combinação de ataques de criptografia e DDoS

Depois de comprometer um computador em uma rede corporativa, o Lucifer notifica o servidor de Comando e Controle (C&C) enviando alguns detalhes sobre a máquina host. Uma vez estabelecida a infecção bem-sucedida, o C&C pode enviar um dos vários comandos.

Como já mencionamos, o malware chamou a atenção dos pesquisadores pela primeira vez ao mostrar ao mundo que é capaz de montar ataques DDoS. Porém, quando os especialistas examinaram a comunicação com a C&C mais de perto, eles perceberam que o Lucifer também pode ser instruído a soltar o XMRig na máquina host.

O XMRig é uma ferramenta de mineração de criptomoeda projetada para gerar o Monero, e é usada de maneira totalmente legítima por entusiastas de criptomoeda. Graças à fácil implantação e sua natureza de código aberto, no entanto, ele também desempenhou um papel fundamental no aumento dos ataques de cryptojacking.

No ano passado, o ato de usar ilegalmente os recursos de computadores de outras pessoas para gerar moedas digitais ultrapassou o ransomware como a forma mais prolífica de crime cibernético, e o XMRig esteve envolvido em uma grande porcentagem dos ataques. No caso de Lucifer, a mineradora XMRig já conseguiu trazer para suas operadoras mais de US $ 30 mil em Monero, o que deve lhe dar uma idéia do porquê de ser tão popular entre os cibercriminosos.

Os lucros do negócio de DDoS são desconhecidos no momento, mas é justo dizer que, usando o Lucifer para dois vetores de ataque separados, os hackers estão dobrando suas chances de obter um lucro sério com o malware. Dito isso, as campanhas bem-sucedidas de criptografia e DDoS contam com um grande número de computadores infectados, e é preciso dizer que os criminosos também pensaram nisso.

Lúcifer tem como alvo sistemas vulneráveis

Além da vulnerabilidade do Lavarel Framework que foi explorada no final de maio, o Lucifer também é capaz de tirar proveito de várias outras falhas de segurança em aplicativos da Oracle, Apache e Microsoft.

Após o comprometimento bem-sucedido de um computador, ele procura por portas TCP abertas na tentativa de localizar possíveis novos destinos e, se encontrar dispositivos com configuração de rede não segura, usa um nome de usuário padrão junto com uma lista de senhas usadas com freqüência para tentar força bruta. Se o protocolo Server Message Block (SMB) estiver ativado, os destinos poderão ser atacados via EternalBlue, EternalRomance e DoublePulsar - três explorações que vazaram em 2017 e foram supostamente desenvolvidas pela NSA.

Os mecanismos de auto-propagação, juntamente com as técnicas de evasão de detecção adicionadas à segunda versão do malware, transformam o Lucifer em uma ameaça formidável. Ironicamente, no entanto, toda a operação depende de alguns dos erros mais simples que, infelizmente, são extremamente comuns.

As explorações de Lúcifer visam vulnerabilidades conhecidas que os fornecedores corrigiram anos atrás. Claramente, no entanto, as organizações alvo não podem se incomodar em aplicar as atualizações de segurança. Eles não prestam atenção suficiente à configuração de rede de seus dispositivos e, com muita frequência, colocam seus computadores em risco sem querer, usando senhas padrão ou fracas.

É por isso que famílias de malware como o Lucifer são tão bem-sucedidas e é por isso que os especialistas não conseguem respirar alertando os usuários sobre os perigos de negligenciar a segurança.