• admin

Lucifer: il cryptominer espande le proprie funzionalità (AL02/200921/CSIRT-ITA)



Descrizione e potenziali impatti

Facendo seguito ad una precedente comunicazione, si rappresenta che, nell’ambito dell’analisi della campagna finalizzata alla diffusione del malware Lucifer, sono state rilevate nuove funzionalità e correlazioni.


Lucifer è un cryptominer con capacità di autodiffusione che, in un primo momento, prendeva di mira solo sistemi Windows e che, attualmente, è in grado di colpire anche sistemi Linux e dispositivi IoT.


La campagna risulta essere in continua evoluzione; dopo i primi tracciamenti, i ricercatori di Check Point hanno correlato Lucifer ad altre due campagne, note come BlackSquid e Rudeminer/Spreadminer, attive a partire da giugno 2019, grazie a due wallet della criptovaluta Monero utilizzati dagli attaccanti. Sulla base delle informazioni raccolte, è emerso che la campagna ha colpito oltre 25 organizzazioni nell’ambito dei settori manifatturiero, legale e assicurativo.


Le capacità del malware sono molteplici. Lo stesso, infatti, è in grado di:

  • scaricare ed eseguire file nei sistemi compromessi;

  • fare mining di Monero utilizzando XMRig;

  • consentire di lanciare diverse tipologie di attacchi DDoS.

L’attacco ai dispositivi IoT da parte di Lucifer è avvenuto attraverso l’exploit della vulnerabilità CVE-2018-10561 che impatta i dispositivi router Dasan GPON non aggiornati.


Azioni consigliate

Si consiglia di:

  • applicare gli aggiornamenti e le patch ai software interessati, inclusi Rejetto File Server HTTP, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework e Microsoft Windows;

  • utilizzare credenziali complesse per proteggersi da attacchi di tipo brute-force;

  • valutare l’implementazione degli Indicatori di Compromissione (IoC), riportati nel file di seguito, sui propri apparati di sicurezza.

Riferimenti

https://research.checkpoint.com/2020/rudeminer-blacksquid-and-lucifer-walk-into-a-bar/



Fonte: CSIRT Nazionale

2 visualizzazioni

Enigma Defense S.r.l.

P.IVA 10609041008 | +39 06 8881 6605 | info@enigmadefense.it | enigmadefense@messaggipec.it

Sede Legale: Via Gino Capponi, 116 - 00179 Roma RM

Sede Operativa: Via Appia Nuova, 669 - 00179 Roma RM

©2019 by Enigma Defense Srl. All rights reserved.