Lucifer Malware pretende convertirse en una plataforma amplia para …


La reciente difusión de la herramienta distribuida de denegación de servicio intenta explotar una docena de fallas del marco website, utiliza relleno de credenciales y está diseñada para funcionar contra una variedad de sistemas operativos.

Una operación cibercriminal con el objetivo de extenderse entre los servidores de aplicaciones net ha tenido un éxito moderado, utilizando sistemas comprometidos para la criptominería Monero, para crear una botnet para ataques de denegación de servicio y para extenderse aún más a las redes empresariales, dijeron el miércoles investigadores de Palo Alto Networks. .

Los desarrolladores de la herramienta de ataque parecen estar apuntando a crear una plataforma de propósito standard para una amplia variedad de ataques, desde ataques distribuidos de denegación de servicio (DDoS) hasta criptominería hasta la creación de botnets, advirtió la compañía. Llamado Satan DDoS por los desarrolladores, la herramienta probablemente no solo apuntará a computadoras con Home windows y servidores Linux sino a dispositivos y sistemas de World-wide-web de las cosas que se ejecutan en los procesadores ARM y MIPS, de acuerdo con los mensajes encontrados en el código.

Hasta ahora, el malware ha tenido cierto éxito, especialmente en la región de Asia y el Pacífico, dice Ken Hsu, investigador senior de seguridad de la Unidad 42 de Palo Alto Networks.

«Debido a que puede monetizar sus ataques, así como establecer una operación de comando y handle, atrae a una amplia variedad de atacantes», dice. «La cantidad de alertas que observamos sugiere que las compañías deberían intensificar sus medidas de seguridad, no solo a través de parches de software sino también fortaleciendo la política de seguridad y el cumplimiento, (como) el fortalecimiento de la contraseña».

La propagación del malware DDoS y cryptojacking destaca que los ciberdelincuentes no tienen que usar los exploits más recientes para comprometer con éxito los servidores en Net. Los investigadores de Palo Alto descubrieron inicialmente el malware después de que comprometía repetidamente las aplicaciones website utilizando un exploit para una vulnerabilidad de 16 meses (CVE-2019-9081) en el marco de Laravel PHP.

Entre las vulnerabilidades explotadas por el software se encuentran una única vulnerabilidad reportada en 2020 y otra de 2019, pero principalmente problemas más antiguos: tres vulnerabilidades de 2018, cinco de 2017 y una sola falla de 2014. Las vulnerabilidades apuntan al servidor de archivos Rejetto HTTP, Jenkins , Oracle Weblogic, Drupal, Apache Struts, Laravel framework y Microsoft Home windows. Todos los problemas se consideran severidad alta o crítica, indicaron los investigadores de Palo Alto en el aviso. El malware también utiliza relleno de credenciales en puertos de acceso remoto y Microsoft SQL, utilizando una breve lista de nombres de usuario y contraseñas.

Una vez en un servidor, el computer software carga y ejecuta varios exploits conocidos tomados del tesoro de herramientas de ciberataque filtradas de la Agencia de Seguridad Nacional, incluidos EternalBlue, EternalRomance y la puerta trasera DoublePulsar. Si bien las vulnerabilidades son antiguas, el computer software se ha extendido con éxito en la naturaleza, según el informe.

«Si bien las vulnerabilidades abusadas y las tácticas de ataque aprovechadas por este malware no son nada originales, una vez más entregan un mensaje a todas las organizaciones, recordándoles por qué es tan importante mantener los sistemas actualizados siempre que sea posible, eliminar credenciales débiles y tener un capa de defensas para garantizar «, los investigadores declarado en el aviso.

Los investigadores descubrieron dos versiones del malware: una que comenzó a propagarse el 29 de mayo y la otra que se activó el 11 de junio. El desarrollador del malware se refiere a él como Satan DDoS, pero debido a que otras familias de malware usan un nombre equivalent, Los investigadores de Palo Alto decidieron marcar el malware «Lucifer».

La segunda versión del software program continúa centrándose en la criptominería, intentando instalar un componente llamado XMRig para minería. Además, el desarrollador agregó una funcionalidad rudimentaria anti-sandbox para que los ingenieros de Stymy reversa analizaran el código. El program más nuevo agrega funciones para infectar a través de otros cuatro protocolos, el Protocolo de transferencia de archivos (FTP), por ejemplo, y verifica si el idioma predeterminado es el chino.

El malware no ha sido particularmente exitoso en la minería de Monero, acumulando solo .49 XMR, alrededor de US $ 32. Sin embargo, la criptominería se ha convertido en un gran foco de los ciberdelincuentes que buscan una manera fácil de monetizar los sistemas comprometidos. En octubre, por ejemplo, unos 2.000 hosts Docker fueron infectados por un gusano relativamente básico que explotó las configuraciones erróneas para descargar y ejecutar software package de cifrado como contenedor. El programa, denominado Graboid por los atacantes, busca demonios Docker desprotegidos y luego envía comandos para instalar imágenes maliciosas desde Docker Hub.

Mucho más pernicioso es la capacidad del malware para usar una variedad de métodos, como las vulnerabilidades de Home windows y los ataques de diccionario, para moverse lateralmente dentro de una crimson, dice Hsu. Muchos de estos son antiguos, pero los autores de malware no necesitan usar los últimos exploits, porque saben que los antiguos deberían ser suficientes, dice.

«Lucifer es capaz de autopropagarse y de obtener credenciales de fuerza bruta, por lo que los atacantes pueden tener un tremendo impacto en sus víctimas una vez que se afianzan», dice Hsu.

Las empresas deben mantener los sistemas actualizados, implementar políticas de contraseñas sólidas y tener inteligencia de amenazas para adaptarse a los últimos ataques, dice Hsu. En su mayor parte, los agujeros en la cobertura de ciberseguridad de las empresas continúan brindando oportunidades a los atacantes, incluso utilizando exploits más antiguos.

«No todas las empresas tienen una fuerte conciencia de ciberseguridad», dice. «Hacer la ciberseguridad adecuadamente requiere una asignación de recursos no trivial, y la ciberseguridad no siempre es su prioridad número uno para las empresas».

contenido relacionado

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Periodista veterano en tecnología de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Reading through, MIT&#39s Technological know-how Evaluate, Well-liked Science y Wired Information. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia unique