Исследователи призывают организации усилить пароли для защиты систем от самораспространяющейся вредоносной программы Люцифера

Самораспространяющееся вредоносное ПО, которое мы собираемся обсудить, должно было называться Сатана, но поскольку уже существует одноименное семейство вымогателей, исследователи Palo Alto Networks решили назвать его Люцифером. Автор вредоносного ПО, вероятно, весьма раздражен этим, поэтому мы будем придерживаться нового имени.

Подразделение 42 в Palo Alto Networks обнаружило вредоносное ПО в конце мая, когда заметило увеличение числа уязвимостей, связанных с известной уязвимостью удаленного выполнения кода в Lavarel Framework. После первоначального расследования эксперты пришли к выводу, что Lucifer отличается способностью запускать атаки распределенного отказа в обслуживании (DDoS) и большим количеством эксплойтов, которыми он был оснащен. Однако 11 июня авторы Люцифера запустили вторую версию вредоносного ПО и продемонстрировали его истинный потенциал.

Люцифер способен сочетать криптовалюту и DDoS-атаки.

После взлома компьютера в корпоративной сети Lucifer уведомляет сервер управления и контроля (C & C), отправляя некоторые сведения о хост-машине. После успешного заражения C & C может отправить одну из нескольких команд.

Как мы уже упоминали, вредоносная программа впервые привлекла внимание исследователей, когда показала миру, что она способна проводить DDoS-атаки. Однако, когда эксперты более внимательно изучили связь с C & C, они заметили, что Люциферу можно поручить сбросить XMRig и на хост-машине.

XMRig - это инструмент майнинга криптовалюты, созданный для генерации Monero, и он совершенно законно используется энтузиастами криптовалюты. Тем не менее, благодаря простому развертыванию и его природе с открытым исходным кодом, он также сыграл ключевую роль в распространении крипто-атак.

В прошлом году акт незаконного использования компьютерных ресурсов других людей для создания цифровых монет обошел вымогателей как наиболее плодовитую форму киберпреступности, и XMRig участвовал в большом проценте атак. В случае с Lucifer майнер XMRig уже успел принести своим операторам Monero на сумму более 30 тысяч долларов, что должно дать вам представление о том, почему он так популярен среди киберпреступников.

Доходы от бизнеса DDoS пока неизвестны, но справедливо сказать, что, используя Lucifer для двух отдельных векторов атаки, хакеры удваивают свои шансы получить серьезную прибыль от вредоносного ПО. При этом успешные кампании по шифрованию и DDoS-атакам зависят от огромного количества зараженных компьютеров, и следует сказать, что мошенники тоже об этом думали.

Люцифер нацелен на уязвимые системы

В дополнение к уязвимости Lavarel Framework, которую он использовал в конце мая, Lucifer также может использовать ряд других уязвимостей в приложениях Oracle, Apache и Microsoft.

После успешной компрометации одного компьютера, он ищет открытые порты TCP, пытаясь найти потенциальные новые цели, и, если он находит устройства с небезопасной конфигурацией сети, он использует имя пользователя по умолчанию и список часто используемых паролей, чтобы попытаться перебирайте его. Если включен протокол Server Message Block (SMB), цели можно атаковать с помощью EternalBlue, EternalRomance и DoublePulsar - трех эксплойтов, которые были обнаружены в 2017 году и предположительно были разработаны АНБ.

Механизмы самораспространения в сочетании с методами уклонения от обнаружения, которые были добавлены ко второй версии вредоносного ПО, превращают Люцифера в грозную угрозу. Как ни странно, однако, вся операция зависит от некоторых из самых простых ошибок, которые, к сожалению, чрезвычайно распространены.

Подвиги Люцифера направлены на известные уязвимости, исправленные поставщиками несколько лет назад. Однако очевидно, что целевые организации не могут быть обеспокоены применением обновлений безопасности. Они также не уделяют достаточного внимания конфигурации сети своих устройств, и слишком часто они невольно подвергают риску свои компьютеры, используя стандартные или слабые пароли.

Вот почему семейства вредоносных программ, такие как Lucifer, настолько успешны, и поэтому эксперты не могут отдышаться, предупреждая пользователей об опасностях пренебрежения безопасностью.