Forskare uppmanar organisationer att stärka lösenord för att försvara system mot det självförökande Lucifer Malware

Lucifer Self-Propagating Malware

Det självutbredande skadliga programmet vi ska diskutera var tänkt att kallas Satan, men eftersom det redan finns en ransomware-familj med samma namn, beslutade Palo Alto Networks forskare att kalla det Lucifer. Malwarens författare är förmodligen ganska irriterad av detta, varför vi håller oss med det nya namnet.

Palo Alto Networks 'Unit 42 upptäckte skadlig programvara i slutet av maj när den märkte en ökning av antalet utnyttjanden av en känd sårbarhet för exekvering av extern kod i Lavarel Framework. Efter den första utredningen drog experterna slutsatsen att Lucifer är känd för sin förmåga att starta DDoS-attacker för Distribuerad avslag (Service Distribution Denial of Service) och för det stora antalet utnyttjande som den var utrustad med. Den 11 juni lanserade emellertid Lucifers författare en andra version av skadlig programvara och visade dess verkliga potential.

Lucifer kan en kombination av kryptojacking och DDoS-attacker

När det komprometterar en dator i ett företagsnätverk meddelar Lucifer kommandot och kontrollservern (C&C) genom att skicka några detaljer om värdmaskinen. När den framgångsrika infektionen har upprättats kan C&C skicka en av flera kommandon.

Som vi nämnde redan, fick malware först forskarnas uppmärksamhet när den visade världen att den kan införa DDoS-attacker. När experterna undersökte kommunikationen med C&C närmare, märkte de dock att Lucifer också kan få instruktioner att släppa XMRig på värdmaskinen.

XMRig är ett gruvverktyg för cryptocurrency som är utformat för att generera Monero, och det används helt legitimt av cryptocurrency-entusiaster. Tack vare den enkla utplaceringen och dess öppen källkod har den dock också spelat en nyckelroll i uppkomsten av kryptojackingattacker.

Förra året förbjöd handlingen att olagligt använda andras datorresurser för att generera digitala mynt ransomware som den mest produktiva formen av internetbrott, och XMRig var involverad i en stor andel av attackerna. När det gäller Lucifer har XMRig-gruvarbetaren redan lyckats ge sina operatörer mer än 30 tusen dollar av Monero, vilket borde ge dig en uppfattning om varför den är så populär bland cyberbrottslingar.

Intäkterna från DDoS-verksamheten är okända för tillfället, men det är rimligt att säga att hackarna fördubblar sina chanser att tjäna allvarliga vinster från skadlig programvara genom att använda Lucifer för två separata attackvektorer. Som sagt, framgångsrika kryptojacking och DDoS-kampanjer förlitar sig på ett stort antal infekterade datorer, och det måste sägas att skurkarna har tänkt på det också.

Lucifer riktar sig mot sårbara system

Förutom Lavarel Framework-sårbarheten som den utnyttjade i slutet av maj kan Lucifer också dra nytta av ett antal andra säkerhetsfel i applikationer från Oracle, Apache och Microsoft.

Efter en framgångsrik kompromiss med en dator söker den efter öppna TCP-portar i ett försök att hitta potentiella nya mål, och om den hittar enheter med osäker nätverkskonfiguration använder den ett standardanvändarnamn tillsammans med en lista med vanliga lösenord för att försöka brute-force sin väg in. Om Server Message Block (SMB) -protokollet är aktiverat kan mål attackeras via EternalBlue, EternalRomance och DoublePulsar - tre exploater som läckte ut 2017 och påstås utvecklas av NSA.

Självutbredningsmekanismerna, i kombination med detektionsundvikelsestekniker som lades till den andra versionen av skadlig programvara, förvandlar Lucifer till ett formidabelt hot. Ironiskt nog är dock hela operationen beroende av några av de enklaste misstag som tyvärr är extremt vanliga.

Lucifers utnyttjelser riktar sig till kända sårbarheter som leverantörerna har korrigerat för år sedan. Det är uppenbart att de målinriktade organisationerna inte kan bry sig om att tillämpa säkerhetsuppdateringarna. De ägnar inte tillräckligt uppmärksamhet åt enheternas nätverkskonfiguration, och alltför ofta sätter de sina datorer i riskzonen genom att använda standard eller svaga lösenord.

Det är därför malware-familjer som Lucifer är så framgångsrika, och det är därför experter inte kan få andetag som varnar användare om farorna med att försumma säkerheten.

June 25, 2020

Lämna ett svar