‘Lucifer-malware gebruikt oude kwetsbaarheden’

Abonneer je gratis op Techzine!

Palo Alto Networks heeft de hybride cryptojacking-malware Lucifer ontdekt, die oude kwetsbaarheden misbruikt voor het uitvoeren van aanvallen. Het doel van de malware is om een botnet te creëren voor DDoS-aanvallen.

De malware wordt door ontwikkelaars Satan DDoS genoemd, onderzoekers hebben het omgedoopt tot Lucifer. Deze malware maakt gebruik van kwetsbaarheden voor het minen van de cryptovaluta monero. Vermoedelijk valt Lucifer zowel Linux en Windows servers aan, maar ook IoT-systemen en apparaten die op MIPS- en ARM-processors draaien. De malware lijkt vooral succesvol te zijn in het Aziatisch-Pacifisch gebied.

“Omdat de aanval in staat is om geld te verdienen en een command-and-control operatie kan opzetten, spreekt het een grote verscheidenheid aan aanvallers aan”, zegt Ken Hsu, senior security researcher bij Palo Alto Networks. “Het aantal waarschuwingen dat we hebben waargenomen, suggereert dat bedrijven hun securitymaatregelen moeten verbeteren. Niet alleen via het patchen van software, maar ook door het versterken van het securitybeleid en compliance, zoals het versterken van de gebruikte wachtwoorden.”

Het succes van Lucifer laat zien dat criminelen een grote hoeveelheid tools kunnen gebruiken om toegang te krijgen tot online servers.

Doel van Lucifer

Onderzoekers ontdekte Lucifer nadat de malware herhaaldelijk webapplicaties had aangevallen. Volgens bronnen gebruikte de malware een zestien maanden oude kwetsbaarheid (CVE-2019-9081) in het Laraval PHP-framework. De malware heeft ook kwetsbaarheden misbruikt die in 2020 en 2019 naar boven kwamen. De exploits zijn voornamelijk gericht op Rejetto HTTP File Server, Drupal, Jenkins, Apache Struts, Oracle Weblogic, Laravel Framework en Microsoft Windows.

Hoe Lucifer werkt

De malware maakt gebruik van credential stuffing op remote-access en Microsoft SQL-poorten, met behulp van een korte lijst gebruikersnamen en wachtwoorden. Zodra Lucifer een server bereikt, laadt en draait het verschillende exploits, waaronder EternalRomance en EternalBlue.

De onderzoekers hebben tot nu toe twee Lucifer-modellen gevonden, maar geen van beide zijn succesvol geweest in het minen van monero. In totaal heeft de malware een bedrag van 0,49 XMR opgebracht met een huidige marktwaarde van zo’n 32 dollar (28 euro).

Experts waarschuwen wel, omdat Lucifer zichzelf kan vermenigvuldigen en in staat is tot brute-force aanvallen, dat aanvallen met Lucifer veel schade kunnen aanrichten zodra de malware toegang heeft tot een systeem. Bedrijven moeten dan ook de nodige stappen ondernemen om hun systemen verder te beveiligen en hun security te verhogen.

“Hoewel de kwetsbaarheden die door deze malware worden misbruikt en de aanvalstactieken die ze gebruiken niet origineel zijn, geven ze opnieuw een bericht af aan alle organisaties waarom het uiterst belangrijk is om systemen up-to-date te houden wanneer dat mogelijk is, zwakke referenties te elimineren en een verdedigingslaag te hebben voor de zekerheid”, luidt het advies van Palo Alto Networks.

Tip: Palo Alto Networks wil het centrale punt voor bedrijfsnetwerken worden