Lucifer: il cryptominer espande le proprie funzionalità (AL02/200921/CSIRT-ITA)

Descrizione e potenziali impatti

Facendo seguito ad una precedente comunicazione, si rappresenta che, nell’ambito dell’analisi della campagna finalizzata alla diffusione del malware Lucifer, sono state rilevate nuove funzionalità e correlazioni.

Lucifer è un cryptominer con capacità di autodiffusione che, in un primo momento, prendeva di mira solo sistemi Windows e che, attualmente, è in grado di colpire anche sistemi Linux e dispositivi IoT.

La campagna risulta essere in continua evoluzione; dopo i primi tracciamenti, i ricercatori di Check Point hanno correlato Lucifer ad altre due campagne, note come BlackSquid e Rudeminer/Spreadminer, attive a partire da giugno 2019, grazie a due wallet della criptovaluta Monero utilizzati dagli attaccanti. Sulla base delle informazioni raccolte, è emerso che la campagna ha colpito oltre 25 organizzazioni nell’ambito dei settori manifatturiero, legale e assicurativo.

Le capacità del malware sono molteplici. Lo stesso, infatti, è in grado di:

• scaricare ed eseguire file nei sistemi compromessi;

• fare mining di Monero utilizzando XMRig;

• consentire di lanciare diverse tipologie di attacchi DDoS.

L’attacco ai dispositivi IoT da parte di Lucifer è avvenuto attraverso l’exploit della vulnerabilità CVE-2018-10561 che impatta i dispositivi router Dasan GPON non aggiornati.

Azioni consigliate

Si consiglia di:

• applicare gli aggiornamenti e le patch ai software interessati, inclusi Rejetto File Server HTTP, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework e Microsoft Windows;

• utilizzare credenziali complesse per proteggersi da attacchi di tipo brute-force;

• valutare l’implementazione degli Indicatori di Compromissione (IoC), riportati nel file di seguito, sui propri apparati di sicurezza.

Riferimenti

https://research.checkpoint.com/2020/rudeminer-blacksquid-and-lucifer-walk-into-a-bar/

Fonte: CSIRT Nazionale