In relazione alla diffusione del malware Lucifer si comunica che sono state rilevate nuove funzionalità e correlazioni.
Lucifer è un cryptominer con capacità di autodiffusione che, in un primo momento, prendeva di mira solo sistemi Windows, attualmente però è in grado di colpire anche sistemi Linux e dispositivi IoT.
La campagna risulta essere in continua evoluzione dopo che i ricercatori di Check Point hanno correlato Lucifer ad altre due campagne, note come BlackSquid e Rudeminer/Spreadminer, attive a partire da giugno 2019, grazie a due wallet della criptovaluta Monero utilizzati dagli attaccanti. Sulla base delle informazioni raccolte, è emerso che la campagna ha colpito oltre 25 organizzazioni nell’ambito dei settori manifatturiero, legale e assicurativo.
Le capacità del malware sono molteplici come di seguito indicato:
- scaricare ed eseguire file nei sistemi compromessi;
- fare mining di Monero utilizzando XMRig;
- consentire di lanciare diverse tipologie di attacchiDDoS.
L’attacco ai dispositivi IoT da parte di Lucifer è avvenuto attraverso l’exploit della vulnerabilità CVE-2018-10561 che impatta i dispositivi router Dasan GPON non aggiornati.
Al momento si consiglia di:
- applicare gli aggiornamenti e le patch ai software interessati, inclusi Rejetto File Server HTTP, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework e Microsoft Windows;
- utilizzare credenziali complesse per proteggersi da attacchi di tipo brute-force.
fonte Csirt Italia